O FBIemitiu um alerta importante sobre o Kali365, uma plataforma de phishing como serviço (PhaaS) identificada em abril deste ano. A ameaça tem como foco principal o Microsoft 365 e utiliza uma técnica inovosa que não requer o roubo direto de senhas. Em vez disso, o golpe induz as vítimas a autorizarem, de forma enganosa, o acesso de cibercriminosos a serviços como e-mails do Outlook, documentos do OneDrive, mensagens do Teams e outras ferramentas da gigante de tecnologia.
Como funciona o ataque do Kali365
Segundo Mario Micucci, investigador de segurança da informação da ESET Latinoamérica, a ameaça explora o fluxo de autenticação por código de dispositivo do OAuth, um mecanismo legítimo da Microsoft. O ataque comienza quando a vítima recebe um e-mail ou mensagem que simula berasal de um serviço confiável, como ferramentas de documentos ou colaboração online. A mensagem orienta o usuário a inserir um código em uma página autêntica da Microsoft. Ao seguir essas instruções, a vítima acaba autorizando, sem saber, o acesso do atacante aos seus dados corporativos.
Contorno da autenticação multifator
A sofisticação do Kali365 está na capacidade de capturar tokens de acesso do Microsoft 365 para sequestrar sessões e contornar a autenticação multifator (MFA). Com esses tokens, os cibercriminosos obtêm acesso completo aos serviços autorizados, incluindo Outlook, Teams, OneDrive e SharePoint. Isso significa que, mesmo com camadas adicionais de segurança configuradas, a conta permanece vulnerável pois o atacante age como se fosse o próprio usuário legitimate.
Plataforma disponível como serviço no Telegram
Conforme informado pelo FBI, o Kali365 é distribuído como um serviço por assinatura na plataforma Telegram. A ferramenta oferece modelos de campanha automatizados, iscas geradas por inteligência artificial e painéis em tempo real para monitorar vítimas em toda a sua operação. Essa estrutura torna o ataque altamente escalável e acessível até mesmo para cibercriminosos com pouco conhecimento técnico, ampliando significativamente o alcance da ameaça.
Recomendações para usuários individuais
Para se proteger contra o Kali365, Mario Micucci recomenda que os usuários nunca compartilhem códigos de autenticação que não foram solicitados. Mesmo quando a página exibida parece ser legítima, o processo pode estar sendo manipulado por atacantes. É fundamental nunca inserir códigos de dispositivo em processos que não foram iniciados voluntariamente. Além disso, é essencial reportar e-mails suspeitos às equipes de TI e revisar alertas de login regularmente. Diante de qualquer dúvida, recomenda-se encerrar sessões ativas imediatamente.
Orientações para ambientes corporativos
Para as empresas, o especialista da ESET orienta a adoção de medidas técnicas específicas. É fundamental restringir o fluxo de autenticação por código de dispositivo no Microsoft Entra ID, implementar políticas de acesso condicional e revogar tokens em casos de incidentes de segurança. O treinamento das equipes também deve contemplar ataques que sequestram sessões, não apenas aqueles que roubam senhas tradicionais. Essas medidas combinadas ajudam a mitigar os riscos apresentados por essa nova geração de ameaças direcionadas ao Microsoft 365.
Fonte: https://canaltech.com.br
