L’FBI ha pubblicato una warning piattaforma di phishing come servizio in rapida crescita chiamata Kali365, utilizzata per compromettere gli account Microsoft 365 bypassando le protezioni di autenticazione multifattore.
Secondo un nuovo Annuncio di Servizio Pubblico dell’FBI pubblicato tramite l’Internet Crime Complaint Center (IC3), Kali365 è apparso per la prima volta nell’aprile 2026 ed è distribuito principalmente tramite canali Telegram utilizzati dai cybercriminali. La piattaforma consente agli attaccanti di rubare token di accesso OAuth Microsoft 365 senza catturare direttamente password o codici MFA.
L’FBI ha dichiarato che Kali365 abbassa la barriera per i cybercriminali meno qualificati fornendo infrastrutture di phishing pronte all’uso, esche di phishing generate dall’IA, modelli di campagne automatizzati, dashboard per il tracciamento delle vittime e strumenti per la cattura dei token.
A differenza degli attacchi di phishing tradizionali che si basano su pagine di accesso false, Kali365 abusa del legittimo processo di autenticazione dei dispositivi di Microsoft. In un attacco tipico, le vittime ricevono email che si spacciano per servizi cloud o di condivisione documenti affidabili. I messaggi contengono istruzioni che indirizzano gli utenti alla vera pagina di verifica di Microsoft e li invitano a inserire un codice dispositivo fornito.
Una volta inserito il codice, le vittime autorizzano inconsapevolmente il dispositivo dell’attaccante ad accedere al loro ambiente Microsoft 365. Gli attaccanti quindi catturano i token di accesso OAuth e aggiornano, consentendo l’accesso persistente a servizi come Outlook, Teams e OneDrive senza attivare ulteriori prompt MFA.
I ricercatori di sicurezza descrivono la tecnica come “device code phishing”, un metodo di attacco in crescita che prende di mira i sistemi di autenticazione cloud. Poiché il login avviene tramite infrastrutture Microsoft legittime, gli strumenti tradizionali di rilevamento phishing spesso faticano a identificare l’attività come malevolente.
I ricercatori di Arctic Wolf hanno precedentemente collegato Kali365 a campagne su larga scala che hanno colpito organizzazioni nei settori manifatturiero, sanitario, finanziario, governativo e educativo in Nord America ed Europa. L’azienda ha dichiarato che gli attaccanti hanno utilizzato esche di phishing realistiche combinate con il flusso legittimo di login dei dispositivi Microsoft per ottenere token di accesso persistenti.
Gli esperti di cybersecurity avvertono che i token rubati possono fornire accesso a lungo termine agli ambienti aziendali e possono essere utilizzati per compromesse email aziendali, ricognizione interna, furto di dati, frodi finanziarie e diffusione di ransomware.
L’FBI raccomandò alle organizzazioni di limitare o disabilitare i flussi di autenticazione del codice del dispositivo dove possibile e di implementare politiche di accesso condizionato che blocchino tentativi di login rischiosi. L’agenzia ha inoltre consigliato alle aziende di monitorare i permessi delle applicazioni OAuth, esaminare eventi di autenticazione sospetti e revocare immediatamente i token non autorizzati dopo aver rilevato attività di compromessa.
L’agenzia ha inoltre avvertito gli utenti di restare cauti verso le email non richieste che richiedono azioni di autenticazione, anche quando i collegamenti puntano a domini Microsoft legittimi.
Kali365 si unisce a un ecosistema in crescita di operazioni di phishing come servizio che impacchettano tecniche di attacco avanzate su piattaforme basate su abbonamenti vendute tramite Telegram e comunità clandestine di cybercrimini. I ricercatori affermano che questi servizi stanno rendendo sempre più accessibili attacchi sofisticati di presa di controllo di account agli attori di minaccia inesperti.