Kali365, o novo ecossistema de phishing

Kali365: O novo ecossistema de phishing que está transformando o roubo de contas Microsoft em um serviço profissional

A evolução do cibercrime moderno está cada vez mais associada à industrialização dos ataques digitais. Ferramentas que antes exigiam conhecimento técnico avançado agora são disponibilizadas como serviços completos, permitindo que criminosos com pouca experiência realizem operações sofisticadas contra empresas, governos e usuários comuns.

Um exemplo recente dessa transformação é o surgimento do Kali365, uma plataforma de Phishing-as-a-Service (PhaaS) criada para comprometer contas do Microsoft 365 utilizando mecanismos legítimos de autenticação da própria Microsoft. Segundo investigações divulgadas pelo TecMundo e alertas emitidos pelo FBI, a plataforma permite contornar autenticação multifator (MFA) sem necessidade de capturar senhas ou códigos temporários.

O caso representa uma mudança importante no cenário das ameaças digitais, pois demonstra que os criminosos não estão mais apenas roubando credenciais. Eles estão explorando diretamente os mecanismos modernos de autenticação baseados em tokens e identidade federada.

 

O que é o Kali365?

O Kali365 é classificado como uma plataforma de Phishing-as-a-Service (PhaaS).

Nesse modelo, operadores desenvolvem toda a infraestrutura criminosa e a disponibilizam mediante assinatura para afiliados que executam os ataques.

Segundo análises da Malwarebytes, a plataforma oferece:

  • Campanhas automatizadas de phishing;

  • Iscas geradas por inteligência artificial;

  • Captura automática de tokens OAuth;

  • Painéis de monitoramento em tempo real;

  • Rastreamento de vítimas;

  • Infraestrutura pronta para ataques em larga escala.

Esse modelo reduz drasticamente a barreira de entrada para novos criminosos.

 

A exploração de um recurso legítimo da Microsoft

O aspecto mais preocupante do Kali365 é que ele não depende de falhas tradicionais de software.

A plataforma explora um mecanismo legítimo chamado OAuth 2.0 Device Authorization Flow, utilizado pela Microsoft para autenticação em dispositivos com capacidade limitada de entrada de dados.

Esse recurso é utilizado em:

  • Smart TVs;

  • Equipamentos IoT;

  • Sistemas de videoconferência;

  • Impressoras corporativas;

  • Dispositivos embarcados.

O processo foi criado para facilitar autenticações seguras em equipamentos sem teclado completo.

 

Como funciona o ataque

O golpe utiliza engenharia social em conjunto com o fluxo legítimo de autenticação.

O processo geralmente ocorre da seguinte forma:

  • O atacante inicia uma solicitação OAuth.

  • Um código temporário é gerado pela Microsoft.

  • A vítima recebe uma mensagem de phishing.

  • O usuário é instruído a acessar o portal oficial da Microsoft.

  • O código fornecido pelo criminoso é inserido.

  • A autenticação multifator é concluída normalmente.

  • Os tokens OAuth são entregues ao atacante.

O detalhe crítico é que todo o processo ocorre dentro da infraestrutura legítima da Microsoft.

 

Por que a MFA não impede o ataque?

Durante anos, a autenticação multifator foi considerada uma das principais barreiras contra invasões de contas.

Entretanto, o Kali365 demonstra uma mudança importante na dinâmica dos ataques.

O criminoso não rouba:

  • Senha;

  • Código MFA;

  • Aplicativo autenticador.

Em vez disso, ele obtém diretamente os tokens OAuth emitidos após a autenticação legítima do usuário.

Na prática, o invasor recebe uma autorização válida concedida pela própria vítima.

 

O valor estratégico dos Tokens OAuth

Tokens OAuth funcionam como credenciais temporárias que comprovam a identidade do usuário perante serviços autenticados.

Uma vez obtidos, podem fornecer acesso a:

  • Outlook;

  • OneDrive;

  • Teams;

  • SharePoint;

  • Aplicações SaaS integradas;

  • Ambientes corporativos federados.

Em muitos casos, os tokens permanecem válidos mesmo após mudanças de senha.

 

O crescimento do mercado de Phishing-as-a-Service

O Kali365 faz parte de uma tendência maior.

O mercado clandestino passou a oferecer serviços completos de ataque digital, incluindo:

  • Ransomware-as-a-Service;

  • Malware-as-a-Service;

  • Initial Access Brokers;

  • Phishing-as-a-Service.

Segundo pesquisadores citados pela TechRepublic, o Kali365 representa uma nova geração de plataformas altamente especializadas em identidade digital.

 

Estrutura empresarial do crime digital

Investigações da Arctic Wolf apontam que o Kali365 opera de forma semelhante a uma empresa tradicional.

A estrutura inclui:

  • Desenvolvedores;

  • Administradores;

  • Revendedores;

  • Afiliados;

  • Suporte operacional.

Esse modelo aumenta a escala dos ataques e acelera a disseminação das campanhas.

 

O papel da engenharia social

Apesar da sofisticação técnica, o elemento humano continua sendo fundamental.

Os ataques utilizam mensagens que simulam:

  • Convites corporativos;

  • Compartilhamento de documentos;

  • Solicitações de reunião;

  • Notificações de segurança;

  • Atualizações urgentes.

O objetivo é convencer a vítima a inserir o código sem perceber que está autorizando um dispositivo controlado pelo criminoso.

 

Impacto para empresas

Uma conta comprometida pode fornecer acesso a:

Comunicação Corporativa

E-mails internos podem ser monitorados e utilizados para fraudes.

Documentação Estratégica

Arquivos armazenados em nuvem tornam-se acessíveis.

Sistemas Integrados

Aplicações conectadas via Single Sign-On podem ser comprometidas.

Movimentação Lateral

O invasor utiliza a conta para expandir o acesso dentro da organização.

 

Persistência e dificuldade de detecção

Um dos maiores desafios é que o acesso obtido parece legítimo.

Os logs mostram:

  • Autenticação válida;

  • MFA concluída;

  • Tokens emitidos corretamente.

Isso dificulta a identificação imediata do comprometimento.

 

O alerta do FBI

O FBI recomendou que organizações revisem urgentemente políticas relacionadas ao fluxo de autenticação por código de dispositivo.

Entre as medidas sugeridas estão:

  • Restringir Device Code Flow;

  • Implementar Conditional Access;

  • Monitorar emissões de tokens OAuth;

  • Revisar dispositivos registrados;

  • Auditar autenticações suspeitas.

 

O futuro dos ataques baseados em identidade

O Kali365 evidencia uma mudança importante na segurança digital.

Historicamente, os criminosos buscavam:

  • Roubar senhas;

  • Explorar vulnerabilidades;

  • Instalar malware.

Agora, o foco está migrando para:

  • Tokens de autenticação;

  • Sessões válidas;

  • Identidades digitais;

  • Infraestruturas de confiança.

Esse movimento acompanha a crescente adoção de ambientes cloud e autenticação federada.

 

Boas práticas de proteção

Especialistas recomendam:

  • Restringir autenticação por Device Code quando possível;

  • Implementar políticas de acesso condicional;

  • Monitorar eventos OAuth;

  • Treinar usuários contra engenharia social;

  • Revisar regularmente sessões ativas;

  • Revogar tokens suspeitos imediatamente.

 

Conclusão

O Kali365 representa uma evolução significativa do ecossistema de phishing moderno. Ao explorar mecanismos legítimos de autenticação da Microsoft em vez de atacar diretamente senhas ou códigos MFA, a plataforma demonstra como os criminosos estão adaptando suas estratégias para contornar as camadas tradicionais de defesa.

Mais do que uma ferramenta isolada, o Kali365 simboliza a profissionalização do cibercrime e o crescimento de modelos criminosos baseados em serviços especializados. O episódio reforça que a segurança atual não pode depender apenas de autenticação multifator, pois a proteção das identidades digitais exige monitoramento contínuo de tokens, sessões, dispositivos e comportamentos anômalos.

À medida que ambientes corporativos migram cada vez mais para plataformas em nuvem, ataques focados em identidade tendem a se tornar uma das principais ameaças da próxima geração de operações ofensivas.

 

Referências Bibliográficas