ФБР випустило офіційне попередження про нову phishing-as-a-service платформу Kali365, яка допомагає кіберзлочинцям отримувати доступ до акаунтів Microsoft 365 без викрадення паролів чи MFA-кодів. Сервіс уже активно поширюється через Telegram і використовує легітимний механізм авторизації Microsoft.
ФБР випустило попередження щодо нової phishing-as-a-service платформи Kali365, яка допомагає зловмисникам викрадати акаунти Microsoft 365 без крадіжки паролів і обходити багатофакторну автентифікацію.
Сервіс вперше помітили у квітні 2026 року. За даними американського агентства, Kali365 активно рекламують у Telegram-каналах для кіберзлочинців як простий спосіб отримати доступ до корпоративних акаунтів Microsoft 365 навіть без серйозних технічних навичок.
В основі атак лежить фішинг через OAuth Device Code Flow. Це легітимний механізм Microsoft OAuth 2.0, який створювався для пристроїв із мінімальними можливостями введення, наприклад Smart TV, конференц-систем, принтерів, стримінгових приставок або IoT-пристроїв.
У звичайному режимі користувач відкриває сторінку microsoft.com/devicelogin, вводить короткий код і підтверджує авторизацію на іншому пристрої. Саме цим процесом і почали активно зловживати хакери.
Схема працює досить просто. Зловмисники самі генерують код авторизації, після чого через фішингові листи або соціальну інженерію змушують жертву ввести його на офіційній сторінці Microsoft.
Після успішного входу та проходження MFA Microsoft видає OAuth-токен доступу. У результаті атакувальники отримують повний доступ до акаунта без необхідності перехоплювати пароль або коди двофакторної автентифікації.
Через єдиний вхід зловмисники можуть дістатися не лише до Microsoft 365, а й до інших хмарних сервісів, пов’язаних із корпоративним акаунтом, включно з Salesforce та іншими SaaS-платформами. Далі викрадений доступ використовують для крадіжки даних та закріплення у мережі.
Раніше угруповання ShinyHunters та оператори ransomware вже використовували device code phishing разом із голосовим фішингом для атак на Microsoft Entra.
У ФБР зазначають, що Kali365 фактично перетворює складні атаки на готовий сервіс для масового використання. Платформа пропонує AI-згенеровані фішингові приманки, автоматизовані шаблони кампаній, панелі моніторингу жертв у реальному часі та інструменти для викрадення токенів.
Про активність Kali365 також повідомили дослідники Arctic Wolf після аналізу масштабної кампанії проти організацій у різних країнах світу.
За їхніми словами, жертв перенаправляли на справжній портал входу Microsoft для введення коду пристрою, після чого хакери отримували доступ до корпоративних поштових скриньок. Після компрометації вони створювали шкідливі правила для приховування власної активності та інколи навіть реєстрували нові пристрої в інфраструктурі компаній.
Arctic Wolf також з’ясувала, що Kali365 працює як повноцінний кіберзлочинний бізнес. У сервісу є адміністратори, реселери та афіліати, які безпосередньо запускають фішингові кампанії.
Платформа підтримує два режими атак. Перший використовує класичний device code phishing, а другий працює за схемою adversary-in-the-middle під назвою Cookie Link.
У режимі Cookie Link жертва проходить авторизацію через інфраструктуру, контрольовану зловмисниками. Це дозволяє перехоплювати активні браузерні сесії, cookie-файли та токени вже після успішного входу й проходження MFA.
ФБР рекомендує компаніям максимально обмежувати або повністю блокувати Device Code Flow через політики Conditional Access, перевіряти використання механізму device code authentication та блокувати політики передачі автентифікованих сесій між пристроями.
Окремо агентство закликало організації повідомляти про подібні інциденти до Internet Crime Complaint Center і зберігати всі пов’язані артефакти, включно з фішинговими листами, підозрілими логінами та фактами несанкціонованої реєстрації пристроїв.
Фішинг через коди пристроїв у 2026 році став одним із найпомітніших трендів серед атак на Microsoft 365, і дедалі більше кіберзлочинців починають використовувати цей механізм у своїх кампаніях.
