O FBI lançou uma warning plataforma de phishing como serviço em rápido crescimento chamada Kali365, que está sendo usada para comprometer contas do Microsoft 365 enquanto burla proteções de autenticação multifator.
De acordo com um novo Anúncio de Serviço Público do FBI publicado pelo Internet Crime Complaint Center (IC3), Kali365 apareceu pela primeira vez em abril de 2026 e é distribuído principalmente por canais do Telegram usados por cibercriminosos. A plataforma permite que atacantes roubem tokens de acesso OAuth do Microsoft 365 sem capturar diretamente senhas ou códigos MFA.
O FBI afirmou que o Kali365 reduz a barreira para cibercriminosos menos qualificados ao fornecer infraestrutura de phishing pronta, iscas de phishing geradas por IA, modelos automatizados de campanhas, painéis de rastreamento de vítimas e ferramentas de captura de tokens.
Diferente dos ataques tradicionais de phishing que dependem de páginas de login falsas, o Kali365 abusa do processo legítimo de autenticação de dispositivos da Microsoft. Em um ataque típico, as vítimas recebem e-mails se passando por serviços confiáveis de nuvem ou compartilhamento de documentos. As mensagens contêm instruções direcionando os usuários para a página real de verificação da Microsoft e solicitando que insiram um código de dispositivo fornecido.
Uma vez que o código é inserido, as vítimas autorizam sem saber que o dispositivo do atacante acesse seu ambiente Microsoft 365. Os atacantes então capturam tokens de acesso OAuth e atualizam, permitindo acesso persistente a serviços como Outlook, Teams e OneDrive sem acionar prompts adicionais de MFA.
Pesquisadores de segurança descrevem a técnica como “phishing por código de dispositivo”, um método de ataque crescente que mira sistemas de autenticação na nuvem. Como o login ocorre por meio da infraestrutura legítima da Microsoft, as ferramentas tradicionais de detecção de phishing frequentemente têm dificuldade em identificar a atividade como maliciosa.
Pesquisadores da Arctic Wolf anteriormente relacionaram o Kali365 a campanhas em grande escala que impactam organizações nos setores de manufatura, saúde, finanças, governo e educação na América do Norte e Europa. A empresa afirmou que os atacantes usaram iscas de phishing realistas combinadas com o fluxo legítimo de login de dispositivos da Microsoft para obter tokens de acesso persistentes.
Especialistas em cibersegurança alertam que os tokens roubados podem fornecer acesso de longo prazo a ambientes corporativos e podem ser usados para comprometimento de e-mails empresariais, reconhecimento interno, roubo de dados, fraude financeira e implantação de ransomware.
O FBI recomendou que as organizações restrinjam ou desativem os fluxos de autenticação por código de dispositivo sempre que possível e implementem políticas de acesso condicional que bloqueiem tentativas de login arriscadas. A agência também orientou as empresas a monitorar permissões de aplicação OAuth, revisar eventos de autenticação suspeitos e revogar tokens não autorizados imediatamente após detectar atividade de comprometimento.
A agência também alertou os usuários para manterem cautela com e-mails não solicitados solicitando ações de autenticação, mesmo quando links apontam para domínios legítimos da Microsoft.
Kali365 se junta a um ecossistema crescente de operações de phishing como serviço que agrupam técnicas avançadas de ataque em plataformas por assinatura vendidas pelo Telegram e comunidades clandestinas de crimes cibernéticos. Pesquisadores afirmam que esses serviços estão tornando ataques sofisticados de tomada de controle de contas cada vez mais acessíveis a atores de ameaça inexperientes.