Platform Bluekit Luncurkan 70 Hostname Phising Baru

Platform Bluekit Luncurkan 70 Hostname Phising Baru – Platform penyedia layanan kriminal Phishing-as-a-Service (PhaaS) bernama Bluekit dilaporkan terus bermutasi dengan tingkat agresivitas yang kian mengkhawatirkan.

Dalam kurun waktu sepekan terakhir, para analis berhasil mengidentifikasi kemunculan hampir 70 nama host (hostnames) baru yang digunakan oleh infrastruktur serangan ini.

Tidak hanya memperluas jaringan distribusinya, platform komersial pasar gelap ini kini telah menyuntikkan kapabilitas serangan Browser-in-the-Middle (BitM) untuk meningkatkan efisiensi pencurian data korbannya.

Pertama kali didokumentasikan pada bulan April oleh tim peneliti keamanan siber, Bluekit menjadi salah satu pelopor platform PhaaS yang menyediakan asisten bertenaga kecerdasan buatan (AI).

Modul AI tersebut mendukung integrasi berbagai model bahasa besar terkemuka di dunia, seperti:

• Llama.
• GPT-4.1.
• Claude.
• Gemini.
• DeepSeek.

Yang disewakan kepada para peretas untuk menyusun draf email pengelabuan secara otomatis dengan gaya bahasa yang sangat persuasif.

Pada awal kemunculannya, paket peretasan ini menawarkan sekitar 40 templat halaman login palsu yang menargetkan berbagai layanan daring populer global, mulai dari:

• Outlook.
• Hotmail.
• Gmail.
• Yahoo.
• ProtonMail.
• iCloud.
• GitHub.
• Dompet perangkat keras kripto Ledger.

Pergeseran Taktik

Laporan investigasi terbaru juga mengeluarkan peringatan keras mengenai perubahan arsitektur teknis yang radikal pada Bluekit.

Platform ini dilaporkan telah bermigrasi dari metode konvensional Adversary-in-the-Middle (AitM) ke mekanisme BitM yang jauh lebih canggih.

Guna melancarkan taktik ini, peretas menyalahgunakan fungsi dari pustaka JavaScript sumber terbuka (open-source) populer bernama rrweb.

Pustaka kode rrweb sejatinya merupakan proyek legal yang digunakan secara luas oleh para pengembang web di seluruh dunia untuk kebutuhan analitik serta merekam ulang sesi interaksi pengguna (session replay).

Oleh sebab itu, peneliti menegaskan bahwa keberadaan skrip ini di dalam lingkungan web tidak boleh langsung diinterpretasikan secara gegabah sebagai indikator kompromi jaringan tanpa adanya analisis konteks makro yang lebih mendalam.

Proses Skema Serangan

Di dalam skema serangan BitM yang dilancarkan Bluekit, alur manipulasi data berjalan melalui proses terstruktur sebagai berikut:

• Pemanfaatan Serialisasi DOM: Skrip rrweb digunakan oleh peretas untuk melakukan serialisasi terhadap struktur kode DOM (Document Object Model) pada halaman situs secara instan.
• Penyaluran Data via WebSocket: Hasil rekaman struktur halaman tersebut kemudian dialirkan secara real-time melalui koneksi WebSocket menuju gawai milik korban.
• Interaksi Sesi Kendali Jauh: Korban yang terjebak pada dasarnya sedang berinteraksi langsung dengan sebuah sesi peramban (browser session) yang dikendalikan penuh oleh peretas dari jarak jauh. Sesi peramban milik peretas inilah yang memuat halaman log masuk asli dari layanan yang dituju.
• Intersepsi Komponen Visual: Seluruh elemen visual seperti gambar, jenis huruf (fonts), serta dokumen gaya desain (CSS) ditarik melalui infrastruktur server phishing milik Bluekit.
• Penerusan Input Data Korban: Setiap ketukan papan tik, gerakan kursor, hingga input data rahasia yang dimasukkan oleh korban pada layar komputer mereka akan langsung diteruskan (forwarded) kembali ke dalam peramban milik peretas secara instan.

Melalui metode BitM ini, peretas memilih rrweb karena kemampuannya yang sangat luar biasa dalam mempertahankan akurasi visual yang tinggi, interaktivitas waktu nyata, serta efisiensi konsumsi lalu lintas data (bandwidth).

Sesi otentikasi (termasuk validasi token keamanan jika ada) pada akhirnya terselesaikan di dalam peramban milik peretas.

Yang secara otomatis memberikan token sesi (session token) yang sah kepada peretas serta hak akses tanpa batas ke dalam akun milik korban.

Kendati demikian, mekanisme ini tidak sepenuhnya mulus tanpa cela. Masih terdapat jeda waktu (latency) pengiriman data yang terjadi selama proses pengalihan berlangsung.

Oleh karena itu, munculnya delay atau keterlambatan respons saat mengetikkan karakter pada papan tik serta jeda waktu respons klik tetikus (mouse) di halaman log masuk wajib dicurigai oleh pengguna sebagai lampu merah (red flags) indikasi adanya serangan siber.

Pemfilteran Korban dan Taktik Anti-Forensik

Sebelum melancarkan aksi penjarahan kredensial, Bluekit menerapkan sistem kualifikasi korban yang sangat ketat dan komprehensif.

Fitur ini dirancang khusus untuk memilah mana korban manusia yang valid dan mana agen robot pelacak otomatis atau analis siber yang sedang melakukan investigasi.

Sistem anti-analisis yang ditanamkan pada versi Bluekit terbaru meliputi rangkaian teknologi perlindungan berikut:

1. Manipulasi Filter CSS Acak.

Mengubah dan memanipulasi nilai filter CSS secara acak pada elemen HTML tingkat atas guna merusak deteksi otomatis berbasis tangkapan layar yang sering digunakan oleh perangkat lunak keamanan siber.

2. Penyandian JavaScript Massal.

Menggunakan bundel kode JavaScript tersembunyi (obfuscated) berukuran sangat besar (melebihi 1 MB) yang kodenya diputar dan diubah secara berkala (rotated) untuk mengecoh filter tanda tangan antivirus.

3. CAPTCHA Kustom Tiruan.

Menyajikan tantangan sistem CAPTCHA buatan sendiri yang dirancang menyerupai tampilan verifikasi milik Cloudflare atau identitas visual dari merek target guna meningkatkan kredibilitas di mata korban.

4. Pemindaian Sidik Jari Peramban (Browser Fingerprinting).

Melakukan pemeriksaan mendalam terhadap kapasitas RAM gawai, jumlah inti CPU, resolusi dimensi layar, preferensi bahasa, deteksi peramban tanpa kepala (headless browser detection), hingga mendeteksi apakah korban memasang ekstensi anti-pelacakan siber.

5. Deteksi Ketidaksesuaian IP via WebRTC.

Memanfaatkan fungsi protokol WebRTC pada halaman pendaratan (landing page) untuk memeriksa kebocoran alamat IP asli pengguna, guna mendeteksi apakah target sedang bersembunyi di balik layanan proksi atau jaringan VPN.

Laporan lain juga menunjukkan bahwa sistem pemantauan langsung (live monitoring) dengan interval pembaruan super cepat setiap 5 detik yang sebelumnya sempat didokumentasikan masih aktif tersedia di dalam panel kontrol Bluekit.

Fitur ini memberikan keleluasaan bagi operator peretas untuk memata-matai korban secara langsung saat mereka terjebak dalam sesi log masuk palsu, sekaligus melacak seluruh aktivitas korban pasca proses log masuk berhasil diselesaikan.

Mitigasi Jaringan Korporasi

Metode serangan BitM ini sebenarnya bukan hal yang sepenuhnya baru di industri siber, karena konsep dasarnya telah dirancang sejak tahun 2022 oleh seorang peneliti sebelum akhirnya diadopsi secara massal oleh kelompok kriminal siber.

Mengingat daftar indikator dari kampanye Bluekit ini bersifat dinamis dan terus berubah, tim pertahanan siber korporasi diimbau untuk tidak hanya terpaku pada indikator kompromi (IoC) tradisional statis, melainkan melacak sinyal perilaku janggal berikut:

1. Audit Koneksi WebSocket Mencurigakan.

Lakukan pengawasan ketat terhadap lalu lintas data keluar gawai karyawan. Waspadai jika ada koneksi WebSocket asing yang mengirimkan data terenkripsi atau data biner mencurigakan tepat saat pengguna berada di halaman log masuk aplikasi sensitif.

2. Pantau Aktivitas Protokol WebRTC.

Nyalakan deteksi otomatis apabila mendeteksi adanya aktivitas pemindaian IP eksternal menggunakan fungsi WebRTC pada halaman luar yang tidak dikenal, yang terindikasi kuat sebagai upaya peretas mendeteksi penggunaan VPN kantor.

3. Migrasi ke Sistem Otentikasi Berbasis Perilaku AI.

Menghadapi ancaman pengelabuan digital, serangan kompromi email bisnis (BEC), serta pengambilalihan akun (ATO) yang kian canggih.

Pendekatan keamanan konvensional yang hanya mengandalkan peringatan standar sudah tidak lagi memadai. Organisasi disarankan untuk mulai mengadopsi teknologi keamanan otomatis berbasis perilaku AI (behavioral AI).

4. Otomatisasi Investigasi Insiden.

Integrasikan sistem pertahanan email yang mampu melakukan investigasi, isolasi, dan remediasi ancaman secara otomatis guna memotong rantai infeksi serangan siber sebelum peretas berhasil menguras token sesi, sekaligus mengurangi beban operasional tim TI akibat kelelahan memantau alarm peringatan (alert fatigue).

Era Serangan Tanpa File

Platform PhaaS Bluekit menjadi bukti nyata bagaimana ekosistem kejahatan digital terus mengeksploitasi alat pengembang web legal seperti rrweb untuk melancarkan serangan spionase data yang presisi.

Dengan mengombinasikan generator email bertenaga kecerdasan buatan, sistem pemfilteran anti-analisis yang ketat, serta manipulasi sesi visual BitM, peretas berhasil meruntuhkan efektivitas sistem pertahanan tradisional yang hanya fokus memvalidasi kredensial statis.

Menghadapi era serangan tanpa file yang berjalan di dalam kernel peramban ini, ketahanan siber organisasi bergantung pada seberapa cepat tim TI beralih dari model keamanan reaktif menuju sistem verifikasi berkelanjutan yang diperkuat oleh analisis perilaku kecerdasan buatan.

Sumber berita:

WeLiveSecurity