april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag.
februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa.
januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.
Company News
mobile-menu-icon
Hot & Attacker

Bluekit gör sessionskapning till ett klick

Blog Reading Time 5 Lästid / maj 4, 2026
Bluekit Phishing Kit Turns Session Hijacking into a Point-and-Click Operation

En ny phishingplattform kallad Bluekit har gjort sessionskapning till en ”peka-och-klicka-operation”. Plattformen, som upptäckts av Varonis Threat Labs, kombinerar 40 falska webbplatsmallar med så kallad adversary-in-the-middle-tekniker som stjäl sessionscookies och därmed helt kringgår multifaktorautentisering (MFA).

Verktyget riktar sig mot stora plattformar som Gmail, Outlook, iCloud, GitHub och ledger genom realistiska phishing-sidor som fångar upp mer än bara lösenord. När offren anger in sina inloggningsuppgifter stjäl Bluekit sessionscookies och lokal lagringsdata som fungerar som autentiseringstokens och bevisar för servrar att användaren redan har verifierat sin identitet. Denna så kallade ” cookie replay”- attack gör att angripare kan få åtkomst till konton utan att trigga MFA-förfrågningar.

Det som gör Bluekit särskilt farligt är integrationen. Traditionella phishingoperationer krävde att angripare kombinerade flera olika tjänster – insamling av inloggningsuppgifter från en leverantör, domänrotation från en annan och SMS-gateways från en tredje. Bluekit samlar domänregistrering, sidgenerering, kampanjhantering och dataexfiltration i en och samma kontrollpanel. Stulen data skickas direkt till operatörerna via Telegran-kanaler.

AI-assistenten lovar mer än den levererar

Bluekits AI-assistent stöder flera modeller inklusive Llama, GPT-4.1, Claude, Gemini och DeepSeek – sannolikt modifierade versionerna där säkerhetsspärrar kring phishinginnehåll har tagits bort. Varonis forskare fann dock att AI-funktionerna är begränsade i praktiken.

Daniel Kelley från Varonis testade AI-assistenten med ett detaljerat phishing-scenario riktat mot en CISO, där syftet var att efterlikna en MFA-omverifiering i Microsoft 365 MFA. Resultatet var visserligen strukturerat, men byggde i hög grad på platshållare i stället för färdigt innehåll.

”Vi förväntade oss något närmare en polerad phishing-copilot”, noterade Kelley. ”Det vi fick var mycket mer begränsat.”

AI-komponenten verkar fortfarande vara under utveckling och genererar snarare kampanjutkast än färdiga phishingbeten. Detta motsäger leverantörens påståenden om att verktyget helt automatiserar skapandet av phishinginnehåll – en påminnelse om att angriparens marknadsföring bör bemötas med samma skepsis som andra leverantörers.

Verktyget utvecklas aktivt

Bluekit utvecklas snabbt enligt flera säkerhetsteam. Plattformen får kontinuerligt nya funktioner, såsom röstkloning, emulering av geografisk position och antibot-maskering. Både BleepingComputer och TechRadar rapporterar att verktyget uppdateras frekvent.

Det är dock viktigt är att notera att forskare ännu inte har observerat Bluekit i skarpa attacker. Plattformen verkar fortfarande befinna sig i en förlanseringsfas, vilket ger försvarare tid att förbereda sig. Med tanke på den snabba utvecklingstakten och den tydliga efterfrågan på allt-i-ett- lösningar för phishing är bredare användning dock sannolik.

Tidpunkten sammanfaller med bredare trender inom AI-assisterad cyberbrottlighet. Enligt Knowbe4:s Phishing Threat Trends Report från april 2026 innehåller nu 86 procent av phishingkampanjer någon form av AI, jämfört med 80 procent år 2024. Forskning från IBM X-Force visar dessutom att AI kan generera övertygande phishingmejl på cirka fem minuter, jämfört med upp till 16 timmar för en människa.

Sessionscookies gör MFA irrelevant

Det mest oroande med Bluekit är dess förmåga till sessionskapning. Traditionella phishingverktyg stjäl inloggningsuppgifter, men angripare måste ändå hantera MFA när de försöker logga in. Bluekits adversary-in-the-middle-metod kringgår detta genom att stjäla själva beviset på en redan genomförd autentisering.

Sessionscookies innehåller information om autentiseringstillstånd som webbläsaren skickar till servern som bevis på att användaren redan är inloggad. Genom att återanvända dessa cookies kan angriparen ta över offrets session utan att behöva logga in eller svara på MFA-förfrågningar. För servern ser det ut som att den legitima användaren fortsätter sin befintliga session.

Denna attackmetod gör SMS-baserad MFA, autentiseringsappar och pushnotiser i stort sett verkningslösa. Endast hårdvarubaserade säkerhetsnycklar med stöd för WebAuthn erbjuder ett robust skydd mot denna typ av angrepp, eftersom de kryptografiskt binder inloggningen till en specifik domän.

Tre åtgärder innan Bluekit tas i bruk

Inför hårdbarubaserade säkerhetsnycklar med stöd för FIDO2/WebAuthn, särskilt för konton med hög risk. Dessa nycklar verifierar användaren lokalt på en betrodd enhet och är motståndskraftiga mot både phishing och sessionskapning.

Se över organisationens e-postsäkerhet. Bluekits mallar riktar sig mot tjänster som de flesta användare dagligen. Om användare ofta får mejl om problem med exempelvis Outlook, Gmail eller GitHub krävs riktad utbildning i hur man verifierar sådana förfrågningar utan att skicka på länkar.

Överväg att införa ytterligare kontroller för sessionssäkerhet. Korta sessionstimeouts, valifering av IP-adresser och enhetsfingeravtryck kan begränsa skadan vid kapade sessioner, även om cookies skulle stjälas.

Referenser

  1. Varonis: Meet Bluekit – The AI-Powered All-in-One Phishing Kit
  2. HackRead: New AI-Powered Bluekit Phishing Kit Targets Major Platforms
  3. BleepingComputer: New Bluekit Phishing Service Includes AI Assistant
  4. TechRadar: Researchers Discover New All-in-One Bluekit Phishing Kit

This post is also available in: English

Related News

NCSC Handles 200 State Cyber Attacks as Britain Faces Four Weekly Incidents

NCSC hanterade 200 statliga cyberangrepp när Storbritannien möter fyra incidenter per vecka

Cyber News Calendar icon april 23, 2026

Nordkoreanska hackare kapade Axios-paket för 100 miljoner användare

Nordkoreanska statshackare komprometterade Axios npm-paket den 31 mars 2026 och infogade en cross-platform remote access trojan i en av JavaScripts mest använda HTTP-klienter. Angreppsfönstret varade…

Cyber News Calendar icon april 22, 2026
Cargo Thieves Exploit RMM Tools to Steal Freight Worth £5 Billion

Cyberbrottslingar använder RMM-verktyg för att stjäla gods värt miljarder

Cyber News Calendar icon april 20, 2026
Russian Military Intelligence Hijacks Routers in Massive DNS Poisoning Campaign

Rysk militär underrättelsetjänst kapade routrar i omfattande DNS-kampanj

Cyber News Calendar icon april 8, 2026

Irans cyberproxies inleder omfattande vedergällning mot västerländska nätverk

Irans offensiva cyberkapacitet har växlat upp efter gemensamma amerikansk-israeliska militära angrepp i slutet av februari 2026. Flera iranska statslänkade grupper och hacktivist-proxies genomför nu koordinerade…

Cyber News Calendar icon mars 10, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss