Cibercriminosos estão cada vez mais alavancando serviços fáceis de usar para obter acesso não autorizado a contas **Microsoft 365**, de acordo com um alerta recente do **FBI**. A agência destacou o **Kali365**, um serviço baseado no **Telegram**, como uma ameaça significativa. # Kali365: Phishing-as-a-Service O **Kali365** é uma plataforma Phishing-as-a-Service (PhaaS) que permite a cibercriminosos capturar tokens OAuth legítimos, concedendo-lhes acesso generalizado a ambientes **Microsoft 365**. O **FBI** observa que o **Kali365** está ativo desde abril de 2026, sendo distribuído principalmente via **Telegram**. Ele permite que atores de ameaça obtenham tokens de acesso **Microsoft 365** e contornem a autenticação multifator (MFA) sem interceptar diretamente as credenciais do usuário. # Como o Kali365 Funciona Atacantes que utilizam o **Kali365** enviam e-mails de phishing que se passam por serviços confiáveis de produtividade na nuvem e compartilhamento de documentos. Esses e-mails contêm códigos e instruções que direcionam as vítimas para páginas de verificação legítimas da **Microsoft**. Usuários desavisados que inserem o código nessas páginas autorizam inadvertidamente o dispositivo do atacante a acessar sua conta. Com os tokens de acesso e atualização OAuth adquiridos, os hackers podem então acessar serviços **Microsoft 365** como **Outlook**, **Teams** e **OneDrive** sem a necessidade de senha ou verificação adicional. # Alertas da Indústria Empresas de cibersegurança como **Proofpoint**, **IBM** e **Huntress** emitiram alertas sobre o número crescente de ataques que utilizam o **Kali365** e plataformas PhaaS semelhantes. A **Arctic Wolf** relatou lidar com uma grande campanha de ataques habilitada pelo **Kali365** em abril, onde atacantes enganaram vítimas para autorizar sessões iniciadas por atores de ameaça através de fluxos de login de dispositivo legítimos da **Microsoft**. A **Arctic Wolf** detalhou ainda mais que os tokens de acesso e atualização OAuth capturados permitiram acesso imediato à caixa de correio e atividades pós-comprometimento. Em alguns casos, regras de caixa de entrada maliciosas foram estabelecidas para suprimir notificações de segurança, estendendo o tempo de permanência e reduzindo a conscientização do usuário. # Preços e Recursos do Kali365 Pesquisadores da **Arctic Wolf** obtiveram acesso ao sistema **Kali365** e descobriram que ele opera em um modelo de preços escalonado, variando de US$ 250 por 30 dias a US$ 2.000 por 365 dias. A plataforma permite que cibercriminosos gerem iscas de phishing de marca usando serviços conhecidos como **Adobe**, **DocuSign** e **SharePoint**, oferecendo iscas em vários idiomas, layouts e temas de design. O **Kali365** gera tanto páginas de phishing em HTML quanto e-mails de phishing, e até oferece uma versão para desktop para download para seus usuários. # A Profissionalização do Cibercrime Especialistas em cibersegurança enfatizam que o **Kali365** exemplifica a crescente profissionalização e distribuição do ecossistema cibercriminosa. Atores menos qualificados agora são capazes de lançar ataques sofisticados ao alavancar essas plataformas "como serviço". Essa tendência foi ainda mais destacada pela recente interrupção pela **Microsoft** de outra ferramenta cibercriminosa "como serviço" que abusava de serviços legítimos para entregar malware.