O FBI está alertando sobre a plataforma de phishing como serviço Kali365, ou PhaaS, usada para sequestrar contas do Microsoft 365 ao abusar da autenticação por código de dispositivo do OAuth para roubar tokens de sessão e burlar a autenticação multifator, ou MFA.
Segundo um comunicado de segurança pública do FBI, a Kali365 surgiu pela primeira vez em abril de 2026 e é distribuída por canais no Telegram voltados a cibercriminosos que buscam uma forma mais fácil de comprometer contas do Microsoft 365 sem precisar roubar senhas ou interceptar códigos de MFA.
A plataforma usa o phishing por código de dispositivo, um método cada vez mais popular que explora o fluxo legítimo de concessão OAuth 2.0 Device Authorization da Microsoft para obter acesso a contas do Microsoft Entra e do Microsoft 365.
Esse método de autenticação foi criado para permitir que dispositivos com capacidade limitada de entrada, como smart TVs, sistemas de sala de conferência, dispositivos de streaming, impressoras e dispositivos IoT, se autentiquem por meio de outro aparelho usando um código curto no portal de login por código de dispositivo da Microsoft, em http://microsoft.com/devicelogin.
Em fevereiro, pesquisadores de segurança identificaram que grupos de extorsão, incluindo a organização criminosa ShinyHunters, estavam direcionando ataques contra contas do Microsoft Entra por meio de campanhas de phishing utilizando códigos de dispositivo e técnicas de phishing por voz.
Nesses ataques, os threat actors iniciam o processo de autorização do dispositivo por conta própria para gerar um código e depois enganam as vítimas para que o insiram na página de login da Microsoft por meio de phishing e engenharia social.
Depois que a vítima digita o código e conclui a MFA, a Microsoft emite um token de acesso OAuth que concede ao threat actor acesso total à conta, sem exigir a resolução de novos desafios de MFA.
Com isso, os threat actors passam a ter acesso completo a todos os aplicativos aos quais o usuário normalmente pode acessar por meio da conta com SSO, incluindo Microsoft 365, Salesforce e outras plataformas SaaS em cloud, que depois são usadas para roubar dados.
O FBI alerta que a Kali365 oferece até mesmo a atacantes com pouca experiência recursos avançados de phishing, incluindo iscas geradas por IA, modelos automatizados de campanhas, painéis em tempo real para rastreamento de vítimas e funcionalidades para captura de tokens.
Pesquisadores de segurança da Arctic Wolf relataram atividade ligada à Kali365 em abril, após observarem uma campanha ampla que atingia organizações no mundo todo.
Segundo os pesquisadores, as campanhas miravam principalmente ambientes Microsoft 365 com e-mails de phishing que levavam as vítimas ao portal de login por código de dispositivo da Microsoft, onde, sem saber, autorizavam os atacantes a acessar suas contas.
Os pesquisadores afirmaram que os ataques resultantes deram aos hackers acesso às caixas de entrada, onde eles criaram regras maliciosas para ocultar suas atividades.
Em alguns casos, os atacantes também registraram novos dispositivos nos ambientes Microsoft das vítimas, ampliando ainda mais o acesso à rede comprometida.
A Arctic Wolf identificou que a Kali365 opera como um negócio, com administradores responsáveis pelo desenvolvimento do produto, revendedores que promovem o serviço a outros threat actors e afiliados que executam os ataques de phishing.
Os pesquisadores dizem que a plataforma oferece dois modos distintos de ataque.
O primeiro é o phishing por código de dispositivo.
O segundo é um modo adversário no meio, ou AitM, chamado Cookie Link.
O Cookie Link encaminha as vítimas por uma infraestrutura controlada pelo atacante, capturando sessões autenticadas do navegador, cookies de sessão e tokens depois que os alvos fazem login e concluem os desafios de MFA.
O FBI recomenda que as empresas restrinjam ou bloqueiem completamente os fluxos de autenticação por código de dispositivo, sempre que possível, por meio de políticas de Acesso Condicional.
A agência também orienta a auditar o uso já existente desses códigos e bloquear políticas de transferência de autenticação que permitam mover sessões entre dispositivos.
A agência também pediu que as organizações afetadas relatem os incidentes ao Internet Crime Complaint Center e preservem e-mails de phishing, informações suspeitas de login e registros de dispositivos não autorizados.
O phishing por código de dispositivo vem sendo amplamente adotado em 2026, com outros threat actors e plataformas passando a usá-lo em suas campanhas e ataques.
Entre esses casos estão o PhaaS EvilTokens e o Tycoon2FA, que também usam essa técnica para comprometer contas do Microsoft 365 e do Entra.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...