**Kali365**: Eine wachsende Bedrohung für Microsoft 365 Laut der **FBI PSA** tauchte **Kali365** im April 2026 auf und wird über **Telegram**-Kanäle verbreitet. Sie richtet sich an Cyberkriminelle, die nach einer einfachen Möglichkeit suchen, **Microsoft 365**-Konten zu kompromittieren, ohne direkt Passwörter zu stehlen oder MFA-Codes abzufangen. Dies unterstreicht die zunehmende Raffinesse und Zugänglichkeit von Phishing-Tools. Device Code Phishing: Ausnutzung legitimer Protokolle Die Plattform nutzt Device Code Phishing, eine Methode, die den legitimen OAuth 2.0 Device Authorization Grant Flow von **Microsoft** missbraucht. Dieser Flow ist für Geräte mit eingeschränkten Eingabemöglichkeiten wie Smart-TVs und IoT-Geräte gedacht und ermöglicht die Authentifizierung über ein anderes Gerät mittels eines kurzen Codes unter `http://microsoft.com/devicelogin`.  *Formular zur Gerätecode-Authentifizierung. Quelle: BleepingComputer* Wie **BleepingComputer** im Februar berichtete, haben Angreifer, darunter die **ShinyHunters**-Gruppe, **Microsoft Entra**-Konten mittels Gerätecode- und Voice-Phishing ins Visier genommen. Angreifer initiieren den Geräteautorisierungsprozess, generieren einen Code und verleiten Opfer durch Social Engineering dazu, diesen auf der Anmeldeseite von **Microsoft** einzugeben. Sobald das Opfer den Code eingegeben und die MFA abgeschlossen hat, stellt **Microsoft** ein OAuth-Zugriffstoken aus, das dem Angreifer vollen Kontozugriff ohne weitere MFA-Abfragen gewährt. Fortschrittliche Funktionen von Kali365 Das **FBI** hebt hervor, dass **Kali365** auch unerfahrenen Angreifern fortschrittliche Phishing-Funktionen bietet, darunter KI-generierte Phishing-Köder, automatisierte Kampagnenvorlagen, Echtzeit-Dashboards zur Verfolgung von Opfern und Token-Capture-Funktionalität. Dies senkt die Einstiegshürde für ausgefeilte Phishing-Angriffe. **Arctic Wolf**-Forscher berichteten im April über **Kali365**-Aktivitäten und beobachteten eine weit verbreitete Kampagne, die sich gegen Organisationen weltweit richtete. Diese Kampagnen zielten hauptsächlich auf **Microsoft 365**-Umgebungen ab und leiteten Opfer zum Gerätecode-Anmeldeportal von **Microsoft**. Angreifer erhielten Zugriff auf Postfächer und erstellten bösartige Posteingangsregeln, um ihre Aktivitäten zu verschleiern. Einige Angriffe beinhalteten die Registrierung neuer Geräte innerhalb der **Microsoft**-Umgebungen der Opfer, was ihren Zugriff weiter ausdehnte. Geschäftsmodell und Angriffsmodi **Arctic Wolf** stellte fest, dass **Kali365** als strukturiertes Geschäft mit Administratoren, Wiederverkäufern und Affiliates operiert. Die Plattform bietet zwei Angriffsmodi: Device Code Phishing und einen Adversary-in-the-Middle (AitM)-Modus namens "Cookie Link". Cookie Link leitet Opfer über vom Angreifer kontrollierte Infrastruktur und erfasst authentifizierte Browsersitzungen, Sitzungs-Cookies und Token, nachdem Ziele sich angemeldet und MFA-Herausforderungen gelöst haben. Minderungsstrategien Das **FBI** empfiehlt Organisationen, Gerätecode-Authentifizierungsflüsse nach Möglichkeit über Conditional Access-Richtlinien einzuschränken oder zu blockieren, die bestehende Nutzung von Gerätecodes zu überprüfen und Richtlinien zur Übertragung von Authentifizierungen zu blockieren. Betroffene Organisationen sollten Vorfälle dem Internet Crime Complaint Center melden und relevante Daten sichern. Wachsender Trend beim Phishing Device Code Phishing hat im Jahr 2026 an Bedeutung gewonnen, wobei Plattformen wie **EvilTokens PhaaS** und **Tycoon2FA** es ebenfalls nutzen, um **Microsoft 365**- und **Entra**-Konten zu kompromittieren. Dies deutet auf eine breitere Verlagerung hin zur Ausnutzung legitimer Authentifizierungsmechanismen für bösartige Zwecke hin.