Das FBI gab eine Warnung heraus über eine Phishing-as-a-Service-Plattform namens Kali365, die es Cyberkriminellen ermöglicht, Microsoft $MSFT 365-Authentifizierungstoken zu erfassen und die Multi-Faktor-Authentifizierung zu umgehen, ohne Benutzerpasswörter zu stehlen.
Erstmals im April 2026 gesehen, wird Kali365 über Telegram verkauft und vertrieben. Laut dem FBI ist die Plattform darauf ausgelegt, Einstiegsbarrieren zu senken und selbst unerfahrene Kriminelle mit Tools wie KI-generierten Phishing-Ködern, automatisierten Kampagnenvorlagen, Dashboards zur Echtzeitverfolgung von Zielen und der Fähigkeit zur Erfassung von OAuth-Token auszustatten.
Der Angriff funktioniert, indem eine Phishing-E-Mail gesendet wird, die einen vertrauenswürdigen Cloud-Produktivitäts- oder Dokumentfreigabedienst imitiert. In der E-Mail ist ein Gerätecode eingebettet, zusammen mit Anweisungen, die den Empfänger auf eine authentische Microsoft-Verifizierungsseite lenken, auf der er aufgefordert wird, ihn einzugeben. Wenn der Benutzer dies tut, autorisiert er unwissentlich das Gerät des Angreifers, auf sein Microsoft 365-Konto zuzugreifen. Diese Token geben dem Angreifer dauerhaften Zugang zu Diensten wie Outlook, Teams und OneDrive — keine Passworteingabe oder MFA-Aufforderung ist zu irgendeinem Zeitpunkt erforderlich, sagte das FBI.
Die Cybersicherheitsfirma Arctic Wolf, die im April eine weit verbreitete Kali365-Kampagne untersuchte, stellte fest, dass Angreifer nach dem Erlangen des Postfachzugangs bösartige Posteingangsregeln erstellten, um ihre Aktivitäten zu verbergen. Angreifer gingen in bestimmten Vorfällen weiter und meldeten zusätzliche Geräte in den kompromittierten Microsoft-Umgebungen an, um ihren Einfluss zu vertiefen, laut BleepingComputer. Arctic Wolf erhielt auch Zugang zum Kali365-System selbst und fand heraus, dass die Plattform drei Abonnementstufen anbietet, die von 250 $ für 30 Tage bis zu 2.000 $ für 365 Tage reichen, laut Die Aufzeichnung.
Laut The Record können über die Plattform gebrandete Attrappen, die bekannte Dienste wie Adobe $ADBE, DocuSign und SharePoint nachahmen, erstellt werden. Die Plattform bietet auch Inhalte in Dutzenden von Sprachen und visuelle Themen an. Einmal erfasst, werden die Token innerhalb der Kali365-Infrastruktur gespeichert und können zwischen Betreibern zur wiederholten Verwendung weitergegeben werden; da sie mit der Single-Sign-On-Sitzung eines Opfers verknüpft sind, öffnen sie laut BleepingComputer Türen zu Drittanbieterdiensten über die Microsoft-eigene Suite hinaus, darunter Salesforce $CRM.
Um die Exposition zu verringern, fordert das FBI Organisationen auf, Conditional Access-Richtlinien als Mechanismus zur Einschränkung oder Eliminierung der Gerätecode-Authentifizierung zu verwenden, die aktuelle Nutzung dieses Flows zu überprüfen, bevor sie gesperrt wird, und Richtlinien abzuschaffen, die Authentifizierungssitzungen erlauben, sich über Geräte zu übertragen. Wenn eine vollständige Einschränkung des Gerätecode-Flows nicht sofort möglich ist, sollten Notzugangskonten aus jeder neuen Richtlinie ausgeschlossen werden, um versehentliche Kontensperrungen zu vermeiden.
Opfer werden ermutigt, Details beim Internet Crime Complaint Center einzureichen unter www.ic3.gov; das FBI bittet auch darum, dass sie alle Phishing-Nachrichten, die sie erhalten haben, Aufzeichnungen über ungewöhnliche Anmeldeaktivitäten und Dokumentationen von Geräten, die ohne Genehmigung zu ihren Konten hinzugefügt wurden, aufbewahren.
