O FBI emitiu um alerta sobre a plataforma Kali365, um serviço de phishing que criminosos usam para roubar contas do Microsoft 365. A ferramenta surgiu em abril de 2026 e é vendida em canais do Telegram. Ela permite que invasores roubem tokens de sessão e contornem a autenticação de dois fatores sem precisar interceptar senhas ou códigos de verificação.
Phishing é um tipo de golpe digital em que criminosos tentam enganar usuários para roubar informações sensíveis, como senhas, dados bancários e códigos de acesso. A fraude costuma ocorrer por meio de e-mails, mensagens de texto, redes sociais ou sites falsos que imitam empresas conhecidas, levando a vítima a clicar em links maliciosos ou fornecer dados pessoais.
A plataforma em questão, Kali365, oferece recursos avançados mesmo para atacantes com pouco conhecimento técnico. Isso inclui iscas de phishing geradas por inteligência artificial, modelos automatizados de campanhas, painéis para monitorar vítimas em tempo real e captura automática de tokens de acesso.
Como a plataforma explora uma função legítima da Microsoft
O Kali365 abusa de um método de autenticação criado pela própria Microsoft chamado OAuth 2.0 Device Authorization. Esse sistema foi desenvolvido para permitir que dispositivos com capacidade limitada de digitação façam login. Smart TVs, impressoras, sistemas de videoconferência e dispositivos IoT precisam se autenticar de forma diferente porque não têm teclado completo.
Basicamente, esses aparelhos geram um código curto que o usuário digita em outro dispositivo no site “microsoft[.]com/devicelogin”. Depois de inserir o código e completar a autenticação de dois fatores, a Microsoft emite um token que dá acesso à conta.
Os criminosos exploram exatamente esse fluxo legítimo e iniciam o processo de autorização para gerar um código. Depois usam phishing e engenharia social para enganar a vítima e fazê-la digitar o código no portal da Microsoft.
O passo a passo do ataque
O golpe começa com um email de phishing que imita serviços confiáveis de produtividade e compartilhamento de documentos. A mensagem contém um código e instruções para que a vítima acesse a página oficial de verificação da Microsoft e insira o código.
A vítima navega até o site real da Microsoft e cola o código, sem saber que ela está autorizando o dispositivo do atacante a acessar sua conta. Depois de completar a autenticação de dois fatores, o invasor captura os tokens de acesso e atualização OAuth.
Com os tokens em mãos, o criminoso tem acesso completo à conta do Microsoft 365. Isso porque o token funciona como uma chave mestra, ele permite entrar no Outlook, Teams, OneDrive e outros serviços sem precisar de senha ou passar por novos desafios de autenticação.
O acesso não se limita apenas aos serviços da Microsoft. Como muitas empresas usam login único, os atacantes conseguem entrar em qualquer plataforma conectada à conta, incluindo Salesforce e outros sistemas SaaS corporativos.
O que os invasores fazem com o acesso
Pesquisadores da Arctic Wolf observaram uma campanha massiva do Kali365 em abril de 2026. Os ataques miraram organizações no mundo todo e focaram principalmente em ambientes Microsoft 365.
Após comprometerem as contas, os invasores acessam as caixas de entrada das vítimas. Eles criam regras maliciosas de email projetadas para esconder suas atividades. Em alguns casos, os atacantes também registram novos dispositivos nos ambientes Microsoft das vítimas. Isso amplia ainda mais o acesso à rede comprometida.
A Arctic Wolf descobriu que o Kali365 opera como um negócio estruturado. Há administradores que gerenciam o desenvolvimento do produto, revendedores que promovem o serviço para outros criminosos e afiliados que executam os ataques de phishing.
A plataforma oferece dois modos diferentes de operação. O primeiro é o device code phishing descrito acima. O segundo é chamado Cookie Link e funciona como adversário no meio.Nessa modalidade, os criminosos redirecionam as vítimas através de infraestrutura controlada por eles. O sistema captura sessões autenticadas do navegador, cookies de sessão e tokens depois que a vítima faz login e resolve os desafios de autenticação de dois fatores.
FBI recomenda bloquear fluxo de autenticação
O FBI recomenda que empresas restrinjam ou bloqueiem completamente os fluxos de autenticação por código de dispositivo usando políticas de acesso condicional sempre que possível. A agência sugere auditar o uso existente dessa funcionalidade antes de criar bloqueios totais.
Outra recomendação é bloquear políticas de transferência de autenticação. Essas políticas permitem que sessões de autenticação se movam entre dispositivos. O FBI também pede que organizações afetadas reportem incidentes ao Internet Crime Complaint Center e preservem emails de phishing, informações de login suspeitas e registros de dispositivos não autorizados.
O device code phishing ganhou adoção generalizada em 2026. Outras plataformas PhaaS como EvilTokens e Tycoon2FA também usam essa técnica para comprometer contas do Microsoft 365 e Entra.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.