Bluekit war im April erstmals von Forschern von Varonis beschrieben worden. Schon damals bot der Dienst einen KI-Assistenten, der mehrere große Sprachmodelle unterstützt, darunter Llama, GPT-4.1, Claude, Gemini und DeepSeek, um Phishing-E-Mails zu entwerfen. Außerdem standen nach Angaben von Varonis 40 unterschiedliche Vorlagen bereit, die auf bekannte Onlinedienste wie Outlook, Hotmail, Gmail, Yahoo, ProtonMail, iCloud, GitHub und Ledger zielten.

In einem neuen Bericht warnt das Unternehmen für digitalen Risikoschutz Netcraft nun vor einer technischen Umstellung. Bluekit habe den bisherigen Adversary-in-the-Middle-Ansatz durch einen Browser-in-the-Middle-Mechanismus ersetzt. Dafür werde die Open-Source-Bibliothek rrweb verwendet, um den DOM-Inhalt einer Seite zu serialisieren und über eine WebSocket-Verbindung an das Opfer zu streamen.

Bei einem BitM-Angriff arbeitet das Opfer mit einer Browser-Sitzung, die vom Angreifer kontrolliert wird. Diese Sitzung lädt die legitime Login-Seite und reicht Anfragen und Antworten zwischen Nutzer und Zieldienst weiter. Bilder, Schriftarten und CSS werden laut Netcraft über die Phishing-Infrastruktur geladen, während die Eingaben des Opfers an den Browser des Angreifers weitergeleitet werden.

Netcraft betont, dass rrweb selbst ein legitimes Projekt ist, das verbreitet für Sitzungsaufzeichnungen und Analysen genutzt wird. Sein Auftreten in einer Web-Umgebung sei daher für sich genommen kein Hinweis auf eine Kompromittierung. Die Forscher schreiben, rrweb sei wegen seiner hohen visuellen Genauigkeit, Echtzeit-Interaktivität und Bandbreiten-Effizienz ausgewählt worden.

Ganz ohne Reibung funktioniert der Ansatz allerdings nicht. Laut Bericht treten weiterhin Verzögerungen auf. Verzögertes Tastaturverhalten oder verzögerte Mausklicks auf Login-Seiten können deshalb ein Warnsignal sein. Die Authentifizierung wird bei diesem Verfahren im Browser des Angreifers abgeschlossen. Dadurch erhält dieser ein gültiges Sitzungs-Token und unbegrenzten Zugriff auf das Konto des Opfers.

Die BitM-Methode ist nicht neu. Netcraft verweist darauf, dass diese Angriffstechnik seit 2022 bekannt ist, damals vom Forscher mr.d0x entwickelt und später für bösartige Aktivitäten übernommen. Vor dem eigentlichen Diebstahl von Zugangsdaten nutzt Bluekit nach Angaben des Berichts ein umfassendes System zur Qualifizierung von Opfern, um echte Ziele von Forschern oder Sicherheits-Crawlern zu unterscheiden.

Laut Netcraft ist auch das von Varonis bereits dokumentierte System zur Live-Überwachung weiterhin in Bluekit vorhanden. Es aktualisiert sich im Fünf-Sekunden-Takt und erlaubt es den Betreibern, Opfer während der täuschenden Anmeldesitzungen zu beobachten und ihre Aktivitäten nach dem Login nachzuverfolgen.

Der Bericht nennt zudem mehrere mit Bluekit verbundene Merkmale und Signale, die jedoch keine Kompromittierungsindikatoren darstellen. Dazu zählen manipulierte CSS-Filter auf obersten HTML-Elementen mit zufälligen Werten, ein verschleiertes JavaScript-Bündel, das regelmäßig ausgetauscht wird, Browser-Fingerabdruck-Prüfungen, eine WebSocket-Verbindung mit verschlüsselten oder binären Daten auf Login-Seiten sowie eine Erkennung von WebRTC-IP-Abweichungen auf der Landingpage.