Kali365: Το FBI προειδοποιεί για νέα πλατφόρμα phishing κατά λογαριασμών Microsoft 365
Η υπηρεσία Kali365 παρακάμπτει το MFA και δίνει σε χάκερ πρόσβαση σε εταιρικούς λογαριασμούς Microsoft 365 μέσω OAuth επιθέσεων.
Το FBI προειδοποιεί για νέα phishing πλατφόρμα κατά Microsoft 365 λογαριασμών.
Το FBI προειδοποίησε για τη νέα πλατφόρμα phishing-as-a-service με την ονομασία Kali365, η οποία στοχεύει λογαριασμούς Microsoft 365 και Microsoft Entra. Οι Αρχές εντόπισαν την υπηρεσία τον Απρίλιο του 2026, ενώ κυβερνοεγκληματίες διακινούν ήδη το εργαλείο μέσω Telegram καναλιών.
σχετικά άρθρα
Η πλατφόρμα χρησιμοποιεί phishing κώδικα συσκευής και εκμεταλλεύεται τη νόμιμη διαδικασία OAuth 2.0 της Microsoft. Έτσι, οι εισβολείς αποκτούν πρόσβαση σε λογαριασμούς χωρίς να χρειάζονται κωδικούς πρόσβασης ή παραβίαση κωδικών MFA.
Πώς λειτουργεί η επίθεση
Η μέθοδος βασίζεται στη ροή εξουσιοδότησης συσκευής OAuth 2.0, την οποία η Microsoft σχεδίασε για συσκευές με περιορισμένες δυνατότητες εισαγωγής δεδομένων, όπως smart TVs, IoT συσκευές και συστήματα τηλεδιασκέψεων.
Οι χάκερ ξεκινούν διαδικασία σύνδεσης και δημιουργούν μοναδικό κωδικό συσκευής. Στη συνέχεια, χρησιμοποιούν phishing και κοινωνική μηχανική ώστε να πείσουν το θύμα να εισαγάγει τον κωδικό στη νόμιμη σελίδα σύνδεσης της Microsoft.
Μόλις ο χρήστης ολοκληρώσει το MFA, η Microsoft εκδίδει OAuth access token. Έπειτα, οι εισβολείς αποκτούν πλήρη πρόσβαση στον λογαριασμό χωρίς νέα επιβεβαίωση ταυτότητας.
Οι στόχοι των κυβερνοεγκληματιών
Οι επιθέσεις δίνουν στους χάκερ πρόσβαση σε Microsoft 365, Microsoft Entra, Salesforce και άλλες cloud SaaS υπηρεσίες που χρησιμοποιούν single sign-on. Επιπλέον, οι εισβολείς αποκτούν πρόσβαση σε email, αρχεία και εταιρικά δεδομένα.
Ερευνητές της Arctic Wolf εντόπισαν εκτεταμένες επιθέσεις εναντίον οργανισμών σε ολόκληρο τον κόσμο. Παράλληλα, οι χάκερ δημιούργησαν κακόβουλους κανόνες εισερχομένων ώστε να αποκρύπτουν ειδοποιήσεις ασφαλείας και ύποπτη δραστηριότητα.
Σε ορισμένες περιπτώσεις, οι εισβολείς καταχώρησαν νέες συσκευές στα εταιρικά περιβάλλοντα των θυμάτων, ενισχύοντας περαιτέρω την πρόσβασή τους.
Η Kali365 λειτουργεί σαν οργανωμένη επιχείρηση
Η Arctic Wolf περιγράφει την Kali365 ως πλήρως οργανωμένη εγκληματική επιχείρηση. Η ομάδα διαθέτει διαχειριστές ανάπτυξης, μεταπωλητές υπηρεσιών και συνεργάτες που εκτελούν phishing επιθέσεις.
Παράλληλα, η πλατφόρμα προσφέρει AI-generated phishing δολώματα, αυτοματοποιημένες καμπάνιες και dashboards παρακολούθησης θυμάτων σε πραγματικό χρόνο.
Επιπλέον, η Kali365 χρησιμοποιεί δεύτερη μέθοδο επίθεσης με την ονομασία “Cookie Link”. Μέσω αυτής, οι εισβολείς παρεμβάλλονται ανάμεσα στον χρήστη και τη σύνδεση, καταγράφουν session cookies και αποκτούν πρόσβαση ακόμη και μετά το MFA.
Οι συστάσεις του FBI προς εταιρείες
Το FBI καλεί οργανισμούς να περιορίσουν ή να απενεργοποιήσουν πλήρως τις ροές ελέγχου ταυτότητας κώδικα συσκευής όπου αυτό είναι εφικτό. Παράλληλα, ζητά έλεγχο πολιτικών πρόσβασης και αποκλεισμό μη ασφαλών authentication transfer policies.
Επιπλέον, οι Αρχές προτρέπουν τις εταιρείες να διατηρούν logs σύνδεσης, ύποπτα emails και καταχωρήσεις νέων συσκευών για μελλοντική έρευνα.
Το phishing κώδικα συσκευής εξαπλώνεται ραγδαία μέσα στο 2026, ενώ πλατφόρμες όπως EvilTokens και Tycoon2FA χρησιμοποιούν ήδη παρόμοιες τεχνικές εναντίον λογαριασμών Microsoft 365.