De FBI waarschuwt voor Kali365, een phishing-as-a-service (PhaaS) platform dat wordt ingezet om Microsoft 365-accounts te kapen door misbruik te maken van OAuth device code authenticatie. Deze methode stelt aanvallers in staat sessietokens te stelen en multi-factor authenticatie (MFA) te omzeilen.

Kali365 verscheen voor het eerst in april 2026 en wordt verspreid via Telegram-kanalen onder cybercriminelen die op zoek zijn naar een eenvoudiger manier om Microsoft 365-accounts te compromitteren zonder wachtwoorden te stelen of MFA-codes te onderscheppen. Het platform maakt gebruik van device code phishing, een techniek die misbruik maakt van Microsofts legitieme OAuth 2.0 Device Authorization grant flow. Deze authenticatiemethode is bedoeld voor apparaten met beperkte invoermogelijkheden, zoals smart-tv's, vergaderruimtesystemen, streamingapparaten, printers en IoT-apparaten, die via een korte code kunnen inloggen via Microsofts device code login portal.

In februari meldde BleepingComputer al dat afpersingsgroepen, waaronder de ShinyHunters, Microsoft Entra-accounts aanvielen via device-code en voice phishing. Hierbij starten aanvallers zelf het device authorization proces om een code te genereren en misleiden slachtoffers om deze code in te voeren op de Microsoft loginpagina. Zodra het slachtoffer de code invoert en MFA voltooit, geeft Microsoft een OAuth toegangstoken af waarmee de aanvaller volledige toegang krijgt tot het account zonder verdere MFA-uitdagingen.

Met deze toegang kunnen aanvallers alle applicaties gebruiken waar de gebruiker normaal toegang toe heeft via single sign-on, zoals Microsoft 365, Salesforce of andere cloud SaaS-platformen, om vervolgens data te stelen. De FBI waarschuwt dat Kali365 zelfs minder ervaren aanvallers geavanceerde phishingmogelijkheden biedt, waaronder AI-gegenereerde phishinglures, geautomatiseerde campagne-templates, dashboards voor realtime slachtoffertracking en functionaliteit voor het onderscheppen van tokens.

Beveiligingsonderzoekers van Arctic Wolf rapporteerden in april activiteit van Kali365 na het waarnemen van een wereldwijde campagne gericht op organisaties. De campagnes gebruikten phishingmails die slachtoffers naar Microsofts device code login portal leidden, waar zij onbewust aanvallers toegang gaven tot hun accounts. De aanvallers kregen toegang tot mailboxen en creëerden kwaadaardige inboxregels om hun activiteiten te verbergen. In sommige gevallen registreerden zij ook nieuwe apparaten in de Microsoft-omgeving van het slachtoffer, waarmee zij hun toegang verder uitbreidden.

Arctic Wolf ontdekte dat Kali365 als een bedrijf opereert, met beheerders die productontwikkeling aansturen, wederverkopers die de dienst promoten en affiliates die phishingaanvallen uitvoeren. Het platform biedt twee aanvalsmethoden: device code phishing en een adversary-in-the-middle (AitM) modus genaamd "Cookie Link". Cookie Link leidt slachtoffers via door de aanvaller gecontroleerde infrastructuur, waarbij geauthenticeerde browsersessies, sessiecookies en tokens worden onderschept nadat slachtoffers inloggen en MFA voltooien.

De FBI adviseert organisaties om device code authenticatie waar mogelijk te beperken of volledig te blokkeren via Conditional Access policies, het gebruik van device code authenticatie te auditen en authenticatieoverdracht tussen apparaten te blokkeren. Daarnaast roept de FBI getroffen organisaties op incidenten te melden bij het Internet Crime Complaint Center en phishingmails, verdachte inloggegevens en ongeautoriseerde apparaatregistraties te bewaren.