FBI alerta sobre Kali365: phishing-as-a-service via Telegram captura tokens OAuth e burla MFA do Microsoft 365

O FBI emitiu alerta sobre o Kali365, uma plataforma de phishing-as-a-service distribuida via Telegram desde abril de 2026 que automatiza o roubo de tokens OAuth do Microsoft 365 e contorna autenticação multifator. O serviço entrega aos criminosos painéis de rastreamento em tempo real, iscas geradas por IA e templates automatizados, reduzindo drasticamente a barreira técnica para sequestrar contas corporativas.

O que aconteceu

Em um aviso público publicado na quinta-feira, o FBI descreveu o Kali365 como uma plataforma comercial de phishing operada por cibercriminosos para outros cibercriminosos, com licenças vendidas por meio de canais do Telegram. A oferta combina servidores intermediários que interceptam o fluxo de autenticação do Microsoft 365 com painéis administrativos que mostram em tempo real quais alvos abriram a isca, quais inseriram credenciais e quais já tiveram tokens válidos capturados.

O bureau confirma que múltiplas empresas de cibersegurança já haviam reportado, no mês anterior, centenas de incidentes ligados ao Kali365. A divulgação oficial formaliza o serviço como uma das principais ameaças contra ambientes corporativos baseados em identidade Microsoft.

Como o ataque funciona

O Kali365 opera como um adversary-in-the-middle (AiTM). O alvo recebe um e-mail de phishing com uma isca personalizada, frequentemente gerada por modelos de IA para imitar comunicados internos, notificações de compartilhamento de arquivo ou solicitações urgentes de RH. O link aponta para um servidor controlado pelos atacantes, que apresenta uma cópia fiel da tela de login da Microsoft.

Quando o usuário digita as credenciais, o servidor intermediário retransmite a requisição para o endpoint legítimo da Microsoft. Se o MFA está habilitado, a vítima recebe o desafio normal no aplicativo autenticador e o aprova, acreditando estar finalizando o login solicitado por ela mesma. O servidor então captura o token OAuth final emitido pela Microsoft e o entrega ao painel do operador do Kali365.

Visto pela primeira vez em abril de 2026, o Kali365 tem sido distribuído principalmente via Telegram, permitindo que atores de ameaça obtenham tokens de acesso ao Microsoft 365 e contornem os protocolos de autenticação multifator.

FBI, aviso público

O token capturado dá ao atacante acesso persistente ao Outlook, ao OneDrive, ao SharePoint e ao Teams da vítima, mesmo que a senha seja trocada posteriormente. A revogação de sessões é a única medida que efetivamente encerra o acesso, mas raramente é executada em tempo hábil.

Riscos para organizações

• Acesso completo a caixas postais corporativas, permitindo fraude por BEC (business email compromise) e exfiltração silenciosa de e-mails sensíveis.
• Pivoteamento para SharePoint e OneDrive, expondo contratos, dados financeiros e documentos regulados.
• Movimento lateral dentro do Teams, com mensagens fraudulentas enviadas a partir de contas confiáveis para escalar acesso ou aprovar transferências.
• Persistência via criação de regras de inbox que ocultam respostas a campanhas de fraude internas.
• Risco específico em pequenas e médias empresas, que dependem do Microsoft 365 como núcleo de identidade e raramente revogam sessões ativas após troca de senha.

Análise

O Kali365 é um sucessor direto de famílias como Evilginx, EvilProxy e Tycoon, mas representa um salto qualitativo em três frentes: industrialização da geração de iscas com IA, painel SaaS em estilo CRM e distribuição low-friction via Telegram. O modelo desloca o phishing do território artesanal para uma operação verticalizada, em que o operador apenas seleciona o alvo e a indústria, paga pelo serviço e recebe contas comprometidas.

Esse contexto confirma que MFA baseada em push e códigos de seis dígitos deixou de ser garantia. Ataques AiTM contornam ambos integralmente. A migração para autenticação resistente a phishing, baseada em FIDO2 ou em chaves de segurança vinculadas ao dispositivo, deixa de ser sugestão e passa a ser pré-requisito mínimo para qualquer ambiente que armazene propriedade intelectual ou dados financeiros relevantes.

A novidade do alerta do FBI também ilumina o uso ofensivo da IA. As iscas geradas por modelos de linguagem eliminam os erros de português e a estrutura genérica que historicamente serviam como sinal de phishing nos treinamentos de conscientização. Equipes de segurança precisam redesenhar seus exercícios internos partindo do pressuposto de que a maioria das tentativas será gramaticalmente perfeita, contextualizada e dirigida.

Recomendações práticas

• Implante autenticação resistente a phishing (FIDO2, chaves de segurança ou Microsoft Authenticator com number matching combinado a Conditional Access).
• Aplique políticas de Conditional Access que restrinjam o login do Microsoft 365 a dispositivos compatíveis, localizações esperadas e redes corporativas.
• Reduza a vida útil de tokens emitidos e habilite Continuous Access Evaluation para revogar sessões assim que sinais de risco forem detectados.
• Monitore eventos de sign-in suspeitos no Entra ID, especialmente logins de novos países, novos user agents e tokens reutilizados em endereços IP distintos em curto intervalo.
• Bloqueie ou rastreie no proxy corporativo domínios recém-registrados utilizados como infraestrutura típica de kits AiTM.
• Atualize o treinamento de conscientização para incluir o padrão AiTM e oriente usuários a aprovar pushes de MFA apenas quando o login foi iniciado por eles mesmos no momento exato.

Fonte: The Record