ФБР США предупредило о Kali365 — PhaaS-сервисе для кражи OAuth-токенов Microsoft 365

ФБР 21 мая 2026 года выпустило предупреждение о Kali365 — появившейся в апреле PhaaS-платформе, которую распространяют главным образом через Telegram. Схема злоупотребляет OAuth device code flow: жертва вводит код на настоящей странице Microsoft, после чего злоумышленники получают access- и refresh-токены Microsoft 365 и могут обходить повторные MFA-проверки.

Федеральное бюро расследований США через IC3 сообщило о новой фишинговой платформе Kali365, работающей по модели phishing-as-a-service. По данным ведомства, Kali365 впервые заметили в апреле 2026 года; сервис в основном распространялся через Telegram и помогает менее технически подготовленным злоумышленникам запускать кампании против Microsoft 365.

Ключевая особенность схемы — не перехват пароля на поддельной странице, а захват OAuth-токенов. Атакующий отправляет письмо, имитирующее облачный сервис или сервис обмена документами, и просит жертву ввести device code на легитимной странице проверки Microsoft. Если пользователь вводит код и проходит аутентификацию, он фактически авторизует устройство злоумышленника: тот получает OAuth access- и refresh-токены, а затем может работать с Outlook, Teams и OneDrive без пароля и без повторного прохождения MFA.

ФБР также указывает, что подписка Kali365 включает AI-сгенерированные фишинговые приманки, шаблоны кампаний, панели отслеживания целей в реальном времени и функции захвата токенов. Исследователи Arctic Wolf ранее описывали крупную кампанию device code phishing с использованием инфраструктуры Kali365 и отмечали, что полученные токены использовались для доступа к почте и последующих действий в Microsoft 365.

В качестве защитных мер ФБР рекомендует ограничить или заблокировать device code flow через Conditional Access, предварительно проверив легитимные сценарии его использования, блокировать перенос аутентификации между устройствами и при невозможности полного запрета исключить учетные записи экстренного доступа из политики, чтобы избежать блокировок. Microsoft в отдельном разборе device code phishing также советует разрешать этот поток только там, где он действительно нужен, и отзывать refresh-токены при подозрении на компрометацию. Пострадавшим ФБР предлагает направлять жалобы в IC3 и сохранять заголовки писем, данные о подозрительных входах, IP-адреса, местоположения и сведения о несанкционированных устройствах или активных сеансах.