O FBI emitiu alerta sobre o Kali365, uma plataforma de phishing-as-a-service distribuida via Telegram desde abril de 2026 que automatiza o roubo de tokens OAuth do Microsoft 365 e contorna autenticação multifator. O serviço entrega aos criminosos painéis de rastreamento em tempo real, iscas geradas por IA e templates automatizados, reduzindo drasticamente a barreira técnica para sequestrar contas corporativas.
Em um aviso público publicado na quinta-feira, o FBI descreveu o Kali365 como uma plataforma comercial de phishing operada por cibercriminosos para outros cibercriminosos, com licenças vendidas por meio de canais do Telegram. A oferta combina servidores intermediários que interceptam o fluxo de autenticação do Microsoft 365 com painéis administrativos que mostram em tempo real quais alvos abriram a isca, quais inseriram credenciais e quais já tiveram tokens válidos capturados.
O bureau confirma que múltiplas empresas de cibersegurança já haviam reportado, no mês anterior, centenas de incidentes ligados ao Kali365. A divulgação oficial formaliza o serviço como uma das principais ameaças contra ambientes corporativos baseados em identidade Microsoft.
O Kali365 opera como um adversary-in-the-middle (AiTM). O alvo recebe um e-mail de phishing com uma isca personalizada, frequentemente gerada por modelos de IA para imitar comunicados internos, notificações de compartilhamento de arquivo ou solicitações urgentes de RH. O link aponta para um servidor controlado pelos atacantes, que apresenta uma cópia fiel da tela de login da Microsoft.
Quando o usuário digita as credenciais, o servidor intermediário retransmite a requisição para o endpoint legítimo da Microsoft. Se o MFA está habilitado, a vítima recebe o desafio normal no aplicativo autenticador e o aprova, acreditando estar finalizando o login solicitado por ela mesma. O servidor então captura o token OAuth final emitido pela Microsoft e o entrega ao painel do operador do Kali365.
Visto pela primeira vez em abril de 2026, o Kali365 tem sido distribuído principalmente via Telegram, permitindo que atores de ameaça obtenham tokens de acesso ao Microsoft 365 e contornem os protocolos de autenticação multifator.
FBI, aviso público
O token capturado dá ao atacante acesso persistente ao Outlook, ao OneDrive, ao SharePoint e ao Teams da vítima, mesmo que a senha seja trocada posteriormente. A revogação de sessões é a única medida que efetivamente encerra o acesso, mas raramente é executada em tempo hábil.
O Kali365 é um sucessor direto de famílias como Evilginx, EvilProxy e Tycoon, mas representa um salto qualitativo em três frentes: industrialização da geração de iscas com IA, painel SaaS em estilo CRM e distribuição low-friction via Telegram. O modelo desloca o phishing do território artesanal para uma operação verticalizada, em que o operador apenas seleciona o alvo e a indústria, paga pelo serviço e recebe contas comprometidas.
Esse contexto confirma que MFA baseada em push e códigos de seis dígitos deixou de ser garantia. Ataques AiTM contornam ambos integralmente. A migração para autenticação resistente a phishing, baseada em FIDO2 ou em chaves de segurança vinculadas ao dispositivo, deixa de ser sugestão e passa a ser pré-requisito mínimo para qualquer ambiente que armazene propriedade intelectual ou dados financeiros relevantes.
A novidade do alerta do FBI também ilumina o uso ofensivo da IA. As iscas geradas por modelos de linguagem eliminam os erros de português e a estrutura genérica que historicamente serviam como sinal de phishing nos treinamentos de conscientização. Equipes de segurança precisam redesenhar seus exercícios internos partindo do pressuposto de que a maioria das tentativas será gramaticalmente perfeita, contextualizada e dirigida.
Fonte: The Record
Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…
CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…
Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…
ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…
Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…
Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…