O FBI emitiu um novo alerta de cibersegurança sobre uma plataforma emergente de phishing-as-a-service (PhaaS) chamada Kali365, que está atacando ativamente usuários do Microsoft 365 para roubar tokens de acesso e burlar a autenticação multifator (MFA). A Kali365 está sendo distribuída principalmente através de canais do Telegram, onde atores de ameaças podem se inscrever no serviço e lançar campanhas de phishing com conhecimento técnico mínimo.
Mecanismo de ataque e exploração do fluxo de autenticação
Diferente dos ataques tradicionais de coleta de credenciais, a Kali365 foca na captura de tokens OAuth, permitindo que os atacantes obtenham acesso persistente às contas do Microsoft 365 sem exigir nomes de usuário, senhas ou códigos MFA. O ataque aproveita o fluxo legítimo de autenticação de código de dispositivo da Microsoft para enganar os usuários e autorizar o acesso malicioso.
O processo de ataque segue uma cadeia específica: primeiro, as vítimas recebem e-mails de phishing que parecem ser da Microsoft ou de plataformas de compartilhamento de documentos, contendo um código de dispositivo e instruções. Em seguida, a vítima é direcionada para uma página legítima de verificação da Microsoft e solicitada a inserir o código fornecido. Ao inserir o código, o usuário autoriza inadvertidamente a sessão do atacante, permitindo que eles capturem os tokens de acesso e atualização OAuth. Finalmente, os atacantes podem acessar serviços como Outlook, Teams e OneDrive sem acionar o MFA novamente.
Recursos da plataforma e escalabilidade
A plataforma inclui várias funcionalidades integradas que reduzem a barreira de entrada para atacantes, incluindo modelos de e-mail de phishing gerados por IA que impersonam serviços confiáveis, ferramentas de implantação automatizada de campanhas e painéis em tempo real para rastrear vítimas. Essa combinação permite que até mesmo atacantes com habilidades técnicas baixas executem campanhas sofisticadas de phishing em escala.
Uma vez obtido o acesso, os atacantes podem ler e exfiltrar e-mails, acessar arquivos sensíveis armazenados no OneDrive, monitorar comunicações via Teams e manter persistência de longo prazo usando tokens de atualização. Como as credenciais não são diretamente roubadas, os alertas de segurança tradicionais podem não ser acionados, aumentando o tempo de permanência dos atacantes na rede.
Recomendações de mitigação e defesa
O FBI e a CISA recomendam várias medidas defensivas para reduzir a exposição. As organizações devem restringir ou desligar a autenticação de fluxo de código de dispositivo sempre que possível. A implementação de políticas de acesso condicional para bloquear o uso não autorizado de código de dispositivo é essencial. Antes de aplicar restrições, é necessário auditar as dependências existentes do fluxo de código de dispositivo.
Além disso, as organizações devem bloquear a transferência de autenticação entre dispositivos e manter contas de acesso de emergência para evitar bloqueios. O monitoramento de logins incomuns e padrões de uso de tokens também é crucial. As vítimas de ataques relacionados à Kali365 são encorajadas a reportar incidentes ao Centro de Reclamações de Crimes na Internet (IC3) do FBI.
Implicações para a segurança de identidade
A plataforma Kali365 destaca uma mudança crescente em direção a ataques baseados em tokens que burlam as defesas tradicionais. Isso reforça a necessidade de controles mais fortes de identidade e acesso. A segurança de identidade deve evoluir para incluir monitoramento comportamental e análise de risco em tempo real para detectar anomalias no uso de tokens OAuth.
O que os CISOs devem fazer agora
As equipes de segurança devem revisar as configurações de autenticação do Microsoft 365 e garantir que as políticas de acesso condicional estejam rigorosamente configuradas. A educação dos usuários sobre os riscos de códigos de dispositivo e a verificação de solicitações de autenticação é fundamental. A implementação de autenticação sem senha e a revisão de sessões ativas podem reduzir o risco de comprometimento de tokens.
Perguntas frequentes
Como identificar um ataque Kali365? Procure por solicitações de código de dispositivo em e-mails não solicitados e logins de dispositivos desconhecidos no portal de segurança da Microsoft.
O MFA é suficiente? Não, ataques de token podem burlar o MFA tradicional. A autenticação sem senha e o monitoramento de sessão são necessários.
Como revogar tokens comprometidos? Use o portal de administração do Microsoft 365 para revogar sessões ativas e forçar a reautenticação de todos os usuários.