Хакерська платформа під назвою Bluekit змінила механізм атаки на архітектуру Browser-in-the-Middle (BitM). За даними компанії Netcraft, оновлена версія використовує легітимну JavaScript-бібліотеку “rrweb” для серіалізації структури вебсторінки і її трансляції через протокол WebSocket на сервер зловмисника. Під час такої атаки жертва взаємодіє з реальною сесією браузера, яка повністю контролюється сервером кіберзлочинців. Останній ретранслює оригінальні запити та відповіді між користувачем і справжнім цільовим сервісом.

Усі дії користувача, включно з кліками та введенням тексту з клавіатури, передаються на підконтрольну хакерам інфраструктуру. Оскільки автентифікація завершеється безпосередньо у браузері нападника, зловмисники миттєво отримують валідний сесійний токен і повний доступ до облікового запису жертви. Для захисту від автоматизованого виявлення розробники Bluekit інтегрували систему кваліфікації цілей, рандомізовані CSS-фільтри проти знімків екрана, обфускований JavaScript-код, перевірку цифрових відбитків пристрою та детекцію VPN через WebRTC.