Một bộ công cụ lừa đảo mới mang tên Bluekit đang làm dấy lên lo ngại trong giới an ninh mạng khi tích hợp các tính năng trí tuệ nhân tạo (AI) nhằm hỗ trợ tội phạm mạng triển khai các chiến dịch tấn công hiệu quả hơn.

Các mẫu giao diện giả mạo như thật của Bluekit. Ảnh: Varonis

Theo các chuyên gia, Bluekit cung cấp hơn 40 mẫu giao diện giả mạo, nhắm đến hàng loạt dịch vụ phổ biến như email (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), dịch vụ đám mây (iCloud), nền tảng dành cho lập trình viên (GitHub), cùng các dịch vụ tiền điện tử như Ledger. Những mẫu này được thiết kế khá tinh vi, mô phỏng giao diện và logo của các thương hiệu thật nhằm đánh lừa người dùng.

Điểm đáng chú ý nhất của Bluekit là bảng điều khiển Trợ lý AI (AI Assistant), hỗ trợ rất nhiều mô hình AI phổ biến như Llama, GPT-4.1, Claude, Gemini hay DeepSeek. Công cụ này giúp kẻ tấn công soạn thảo nội dung email lừa đảo nhanh chóng, từ đó rút ngắn thời gian chuẩn bị và mở rộng quy mô chiến dịch.

Sự xuất hiện của Bluekit cho thấy xu hướng ngày càng rõ rệt khi các nền tảng tội phạm mạng tích hợp AI để tự động hóa và tối ưu hóa hoạt động. Trước đó, Công ty an ninh mạng Abnormal Security (Mỹ) từng cảnh báo về ATHR - một nền tảng lừa đảo qua giọng nói sử dụng AI để thực hiện các cuộc tấn công kỹ thuật xã hội.

Tuy nhiên, theo phân tích của Công ty an ninh mạng Varonis (Mỹ), AI Assistant hiện tại của Bluekit vẫn đang ở giai đoạn thử nghiệm. Nội dung được tạo ra còn mang tính khung sườn, chứa nhiều thành phần giả lập như liên kết mẫu, mã QR chưa hoàn chỉnh và cần chỉnh sửa trước khi sử dụng thực tế. Điều này cho thấy AI Assistant của Bluekit hiện đóng vai trò hỗ trợ xây dựng cấu trúc chiến dịch hơn là tạo ra một kịch bản lừa đảo hoàn chỉnh.

Bên cạnh AI, Bluekit còn tích hợp đầy đủ các công cụ cần thiết cho chiến dịch lừa đảo trong một giao diện duy nhất, từ mua và đăng ký tên miền, thiết lập trang giả mạo cho đến quản lý chiến dịch. Người vận hành có thể tùy chỉnh hành vi của trang lừa đảo như chuyển hướng, cơ chế chống phân tích, quy trình đăng nhập, đồng thời theo dõi hoạt động của nạn nhân theo thời gian thực. Dữ liệu đánh cắp sẽ được gởi về các kênh Telegram riêng do kẻ tấn công kiểm soát.

Sau khi thu thập thông tin, Bluekit còn hỗ trợ theo dõi phiên đăng nhập của nạn nhân, bao gồm cookie, dữ liệu lưu trữ cục bộ và trạng thái phiên đăng nhập trực tiếp. Điều này giúp kẻ tấn công hiểu rõ hành vi của người dùng sau khi đăng nhập, từ đó tiếp tục tinh chỉnh chiến dịch để đạt hiệu quả cao hơn.

Công ty Varonis nhận định Bluekit là một ví dụ điển hình của mô hình “tất cả trong một”, tạo điều kiện cho các tội phạm mạng triển khai đầy đủ hoạt động của một cuộc tấn công lừa đảo. Dù vẫn đang trong quá trình phát triển và liên tục được cập nhật, Bluekit được đánh giá là có tiềm năng lan rộng nhanh chóng trong thời gian tới, đặt ra thách thức lớn cho công tác bảo mật và an toàn thông tin.

LÊ PHI (Theo Bleeping Computer)