🛡️ Executive Summary
- BlueKit integra la tecnica browser-in-the-middle, mentre la campagna Photo-Zip distribuisce TonRAT contro il settore hospitality.
- Le minacce consentono furto di credenziali, acquisizione di token di sessione, persistenza tramite Node.js ed esfiltrazione di dati sensibili.
- La mitigazione richiede monitoraggio delle sessioni, controllo degli script, verifica degli IOC, formazione degli utenti e difese multilivello contro phishing avanzato.
Le campagne di phishing continuano a evolversi adottando tecniche sempre più sofisticate per aggirare le difese tradizionali. Tra le novità più significative emerge BlueKit, una piattaforma phishing-as-a-service (PhaaS) che introduce il paradigma browser-in-the-middle, capace di sottrarre credenziali e token di autenticazione mantenendo un’interazione quasi indistinguibile dai siti originali. Parallelamente è stata osservata la campagna Photo-Zip, che prende di mira il settore hospitality distribuendo il malware TonRAT attraverso archivi ZIP contenenti collegamenti malevoli. A completare il quadro si aggiunge una nuova tecnica che sfrutta l’app Shop di Shopify per orchestrare sofisticati attacchi di callback phishing, inducendo gli utenti a contattare falsi centri di assistenza. Sebbene differenti nelle modalità operative, queste campagne condividono un obiettivo comune: ottenere credenziali valide, instaurare accessi persistenti e sfruttare la fiducia degli utenti nei confronti di servizi legittimi, dimostrando come il phishing moderno si stia trasformando in un ecosistema offensivo sempre più complesso e difficile da intercettare.
Cosa leggere
BlueKit introduce il browser-in-the-middle nel phishing-as-a-service
BlueKit rappresenta una delle evoluzioni più significative del panorama PhaaS, grazie all’integrazione della tecnica browser-in-the-middle (BitM). Diversamente dai tradizionali proxy inversi, il kit esegue direttamente la pagina di autenticazione originale all’interno di un browser controllato dall’attaccante, utilizzando la libreria rrweb per serializzare il DOM e trasmetterlo in tempo reale alla vittima attraverso una connessione WebSocket.
L’utente visualizza così una copia perfettamente funzionante del portale autentico di servizi come Outlook, Gmail, GitHub e Ledger, mentre ogni interazione con tastiera e mouse viene inoltrata al browser remoto dell’aggressore. In questo modo l’autenticazione avviene realmente sul sito legittimo e gli operatori ottengono direttamente i cookie e i token di sessione, superando molte protezioni offerte dall’autenticazione multifattore. L’elevata fedeltà grafica e la minore richiesta di banda rispetto ai sistemi basati su streaming video rendono questa tecnica particolarmente efficace, mentre un pannello di controllo consente agli operatori di monitorare in tempo reale le attività della vittima dopo il login.
Tecniche di evasione rendono BlueKit difficile da individuare
Per aumentare la probabilità di successo, BlueKit implementa numerosi meccanismi di evasione e selezione delle vittime. Prima di mostrare la pagina di autenticazione, il kit esegue un articolato processo di fingerprinting analizzando quantità di memoria disponibile, numero di core della CPU, risoluzione dello schermo, lingua del browser, presenza di ambienti headless ed estensioni anti-fingerprinting. L’impiego di WebRTC permette inoltre di confrontare gli indirizzi IP reali con quelli dichiarati, individuando rapidamente l’utilizzo di VPN o proxy. Parallelamente vengono applicati filtri CSS casuali che modificano saturazione, luminosità e tonalità della pagina, alterando gli hash degli screenshot e complicando il lavoro degli strumenti automatici di rilevamento. Il codice JavaScript, superiore al megabyte e fortemente offuscato, viene aggiornato frequentemente, mentre un CAPTCHA dinamico che simula Cloudflare o il marchio impersonato contribuisce a filtrare sandbox e ricercatori. L’insieme di queste tecniche consente di concentrare gli attacchi sugli utenti reali, riducendo significativamente l’efficacia delle analisi automatizzate.
In che modo Bluekit si differenzia dagli strumenti AitM tradizionali?
Il phishing AitM non è un concetto nuovo. Piattaforme come Evilginx offrono da anni la possibilità di rubare credenziali e sessioni tramite reverse proxy. L’architettura di Bluekit rappresenta un significativo allontanamento da questo modello, con compromessi operativi ben precisi.
| Caratteristica | Evilginx (Proxy inverso) | Bluekit (BitM) |
| contesto di esecuzione del browser | Browser locale della vittima | Streaming del browser controllato da remoto dall’attaccante trasmesso alla vittima |
| Metodo di furto di credenziali/sessioni | Intercetta il traffico in transito | La vittima si autentica direttamente nel browser dell’attaccante. |
| Bypass dell’autenticazione a più fattori | SÌ | SÌ |
| Requisiti delle risorse | Leggero | Livello di difficoltà superiore: è necessario un browser completo o headless. |
| esposizione del rilevamento dell’attaccante | Basso | Livello superiore: il browser dell’attaccante è soggetto al fingerprinting del sito di destinazione |
| Requisiti per l’operatore live | Non richiesto | Non richiesto; il pannello consente il monitoraggio opzionale |
| Sofisticazione dell’evasione | Livello di difficoltà: da moderato ad elevato (dipende dalla competenza dell’operatore). | Elevato (eredita il comportamento reale del browser + elusione dinamica) |
| Titolare della sessione | Sessione della vittima dirottata dopo l’autenticazione: una mancata corrispondenza dell’impronta digitale del browser può rivelare il furto. | L’attaccante controlla la sessione fin dall’inizio; l’ambiente del browser rimane invariato, riducendo i segnali di rilevamento. |
La campagna Photo-Zip prende di mira il settore hospitality
Dal mese di aprile 2026 è attiva una campagna denominata Photo-Zip, rivolta principalmente a hotel e strutture ricettive in Europa e Asia. Gli aggressori sfruttano temi legati a recensioni negative, reclami degli ospiti, infestazioni di cimici e verifiche sanitarie per indurre il personale ad aprire allegati apparentemente innocui. I messaggi vengono inviati con il mittente “Booking Manager (via Calendly)” e sfruttano l’infrastruttura di notifica di Calendly, combinata con redirect di Google, riuscendo così a superare numerosi controlli SPF, DKIM e DMARC.
Dopo una catena di reindirizzamenti che coinvolge domini .cfd di recente registrazione e la protezione Cloudflare Turnstile, la vittima scarica archivi ZIP contenenti file LNK mascherati da immagini PNG. La campagna utilizza email localizzate in giapponese, danese e olandese e viene distribuita su larga scala senza particolari personalizzazioni, puntando sulla pressione psicologica derivante dalla possibile presenza di recensioni negative o problemi con i clienti.
TonRAT sfrutta Node.js per ottenere persistenza e controllo remoto
L’apertura del collegamento LNK avvia una catena di esecuzione basata su PowerShell offuscato che decodifica un URL nascosto mediante operazioni BigInt e scarica uno script .ps1 nella cartella temporanea del sistema. Lo script recupera quindi il runtime ufficiale Node.js 24.13.0 direttamente da nodejs.org e installa l’impianto TonRAT, progettato per operare come RAT modulare. Il malware stabilisce connessioni WebSocket cifrate verso server di comando e controllo, alcuni dei quali vengono individuati dinamicamente attraverso API della blockchain TON, ed esegue controlli geografici mediante ip-api.com.
Tra le funzionalità osservate figurano l’automazione del browser con modalità headless, la possibilità di forzare lo spegnimento del sistema, l’aggiunta di esclusioni in Windows Defender e l’esecuzione di ulteriori payload silenziosi. La persistenza viene ottenuta tramite due chiavi di registro distinte, HKCU\Run e HKCU\RunOnce, creando un meccanismo ridondante che rende difficile la rimozione completa dell’infezione e consente al malware di riattivarsi anche dopo interventi parziali.
L’app Shop viene sfruttata per sofisticati attacchi di callback phishing
Un’altra tecnica osservata nelle ultime settimane sfrutta l’app Shop di Shopify, utilizzata da milioni di utenti per monitorare gli acquisti online. Gli attori malevoli inseriscono ordini fraudolenti all’interno della cronologia degli acquisti, facendo apparire transazioni inesistenti attribuite a marchi come Apple, PayPal, McAfee o Norton. Le ricevute includono numeri telefonici presentati come servizio clienti per contestare l’acquisto.
Quando la vittima chiama il numero indicato entra in contatto con operatori che, attraverso sofisticate tecniche di ingegneria sociale, convincono l’utente a comunicare credenziali, codici OTP, dati delle carte di pagamento oppure a installare software di accesso remoto. L’efficacia della campagna deriva dal fatto che gli ordini compaiono direttamente all’interno di un’applicazione ritenuta affidabile, riducendo il livello di sospetto normalmente associato alle email di phishing tradizionali. Shopify ha introdotto ulteriori controlli per limitare questo abuso e consente agli utenti di segnalare direttamente gli store sospetti attraverso l’applicazione.
Le nuove campagne dimostrano l’evoluzione del phishing moderno
Le tre campagne evidenziano come il phishing moderno stia superando il semplice invio di pagine contraffatte per trasformarsi in un ecosistema offensivo capace di combinare browser-in-the-middle, malware, callback phishing e abuso di infrastrutture legittime. BlueKit permette di sottrarre direttamente token di autenticazione validi aggirando molte difese tradizionali, Photo-Zip dimostra come il settore hospitality rappresenti un obiettivo privilegiato per la distribuzione di TonRAT, mentre l’abuso dell’app Shop conferma che anche piattaforme affidabili possono diventare strumenti di ingegneria sociale. Per organizzazioni e utenti finali diventa quindi essenziale adottare un approccio difensivo multilivello che combini formazione continua, verifica delle richieste inattese, monitoraggio delle sessioni di autenticazione, controllo degli script eseguiti sui sistemi e analisi costante degli indicatori di compromissione (IOC). La crescente sofisticazione di queste tecniche dimostra che la sicurezza non può più basarsi esclusivamente sul riconoscimento di pagine fraudolente, ma deve considerare l’intero ciclo operativo delle moderne campagne di phishing.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
