O FBI emitiu um alerta público sobre a disseminação do Kali365, uma plataforma de phishing-as-a-service que está comprometendo contas do Microsoft 365 em larga escala. A ferramenta, identificada pela primeira vez em abril de 2026, automatiza o roubo de tokens OAuth, permitindo que atacantes ignorem a autenticação multifator (MFA) e obtenham acesso direto a ambientes corporativos sensíveis sem a necessidade de senhas tradicionais.
Segundo o comunicado oficial, o Kali365 reduz drasticamente a barreira técnica para cibercriminosos, oferecendo desde modelos de campanhas automatizadas até painéis de rastreamento em tempo real. A sofisticação da plataforma, distribuída via Telegram, reflete uma mudança no cenário de ameaças, onde a eficácia do ataque não depende mais da habilidade do invasor, mas da robustez do kit de exploração adquirido.
A mecânica da fraude via código de dispositivo
A estratégia central do Kali365 baseia-se em dois vetores principais, sendo o mais comum o abuso do fluxo de código de dispositivo. O atacante envia e-mails persuasivos que simulam serviços legítimos de assinatura digital ou compartilhamento de documentos, como Adobe Acrobat Sign ou SharePoint. Ao clicar no link, a vítima é induzida a inserir um código de dispositivo em uma página real da Microsoft, o que inadvertidamente registra o dispositivo do atacante na conta da vítima.
Essa técnica é particularmente perigosa por ser visualmente indistinguível de um processo de autenticação comum. Uma vez que o código é inserido, o invasor obtém acesso persistente a e-mails, Teams e documentos, mantendo a conexão ativa sem que o usuário perceba a intrusão. A ausência de alertas de login suspeito, uma vez que o dispositivo foi "autorizado" pela própria vítima, torna a detecção extremamente complexa.
O modelo de negócios do cibercrime
A estrutura do Kali365 exemplifica a profissionalização do ecossistema de crimes cibernéticos. Com três níveis de assinantes — Cliente, Agente e Administrador — a plataforma opera com uma lógica de SaaS (Software as a Service) voltada para o lucro. O custo de 250 dólares mensais por tenant, ou 2.000 dólares anuais, torna a ferramenta acessível para uma vasta gama de atores maliciosos, independentemente de sua sofisticação técnica.
Além da facilidade de acesso, a plataforma suporta múltiplos idiomas e oferece a capacidade de personalizar o branding dos painéis, permitindo que cada campanha tenha uma aparência única. Essa variabilidade dificulta a criação de defesas baseadas em padrões, já que cada payload distribuído é distinto, sobrecarregando as equipes de segurança que tentam identificar e bloquear os ataques em tempo real.
Implicações para a infraestrutura corporativa
Para as organizações, o cenário exige uma revisão urgente das políticas de acesso condicional. Especialistas recomendam o bloqueio do fluxo de código de dispositivo onde não for estritamente necessário e a restrição de políticas de transferência de autenticação entre dispositivos. O impacto potencial vai além do roubo de dados, atingindo a integridade da comunicação corporativa e a continuidade de negócios em casos de ransomware.
A tensão entre a usabilidade do M365 e a segurança necessária nunca foi tão evidente. Enquanto a Microsoft e outras empresas de tecnologia buscam simplificar o acesso para o trabalho híbrido, ferramentas como o Kali365 exploram exatamente essas conveniências. O desafio para os gestores de TI é equilibrar a fluidez do trabalho com a necessidade de controles granulares que impeçam a exfiltração de sessões.
O futuro da autenticação sob ataque
O que permanece incerto é a capacidade das defesas automatizadas de acompanhar a escala desses ataques. A observação de centenas de comprometimentos diários sugere que as proteções atuais ainda são reativas demais. A evolução contínua dos kits de phishing, como a comparação recorrente com o EvilTokens, indica que novos vetores de exploração surgirão tão logo as vulnerabilidades atuais sejam mitigadas.
O monitoramento constante das atividades de autenticação e a educação contínua dos usuários continuam sendo as linhas de frente. Contudo, a pergunta fundamental é se a arquitetura baseada em tokens OAuth, tal como estruturada hoje, pode ser suficientemente protegida sem sacrificar a experiência do usuário final, ou se uma mudança de paradigma na autenticação será necessária.
Com reportagem de Brazil Valley
Source · The Register
