**Kali365**: Uma Ameaça Crescente ao Microsoft 365 De acordo com o **FBI PSA**, o **Kali365** surgiu em abril de 2026 e é distribuído através de canais do **Telegram**, visando cibercriminosos que buscam uma maneira fácil de comprometer contas **Microsoft 365** sem roubar senhas diretamente ou interceptar códigos MFA. Isso ressalta a crescente sofisticação e acessibilidade das ferramentas de phishing. Phishing por Código de Dispositivo: Explorando Protocolos Legítimos A plataforma explora o phishing por código de dispositivo, um método que abusa do fluxo legítimo de concessão de autorização de dispositivo OAuth 2.0 da **Microsoft**. Este fluxo é destinado a dispositivos com capacidades de entrada limitadas, como smart TVs e dispositivos IoT, permitindo que eles se autentiquem através de outro dispositivo usando um código curto em `http://microsoft.com/devicelogin`.  *Formulário de autenticação por código de dispositivo. Fonte: BleepingComputer* Conforme **BleepingComputer** relatou em fevereiro, atores de ameaças, incluindo o grupo **ShinyHunters**, têm visado contas **Microsoft Entra** usando phishing por código de dispositivo e por voz. Atacantes iniciam o processo de autorização de dispositivo, geram um código e enganam as vítimas para que o insiram na página de login da **Microsoft** via engenharia social. Uma vez que a vítima insere o código e completa a MFA, a **Microsoft** emite um token de acesso OAuth, concedendo ao atacante acesso total à conta sem desafios adicionais de MFA. Recursos Avançados do Kali365 O **FBI** destaca que o **Kali365** fornece até mesmo a atacantes novatos capacidades avançadas de phishing, incluindo iscas de phishing geradas por IA, modelos de campanha automatizados, painéis de rastreamento de vítimas em tempo real e funcionalidade de captura de token. Isso reduz a barreira de entrada para ataques de phishing sofisticados. Pesquisadores da **Arctic Wolf** relataram atividade do **Kali365** em abril, observando uma campanha generalizada visando organizações globalmente. Essas campanhas visaram principalmente ambientes **Microsoft 365**, direcionando vítimas para o portal de login por código de dispositivo da **Microsoft**. Atacantes obtiveram acesso a caixas de correio, criando regras de caixa de entrada maliciosas para ocultar suas atividades. Alguns ataques envolveram o registro de novos dispositivos nos ambientes **Microsoft** das vítimas, estendendo ainda mais seu acesso. Modelo de Negócios e Modos de Ataque A **Arctic Wolf** descobriu que o **Kali365** opera como um negócio estruturado, com administradores, revendedores e afiliados. A plataforma oferece dois modos de ataque: phishing por código de dispositivo e um modo adversary-in-the-middle (AitM) chamado "Cookie Link". O Cookie Link faz proxy das vítimas através de infraestrutura controlada pelo atacante, capturando sessões de navegador autenticadas, cookies de sessão e tokens após os alvos fazerem login e resolverem os desafios de MFA. Estratégias de Mitigação O **FBI** recomenda que as organizações restrinjam ou bloqueiem fluxos de autenticação por código de dispositivo usando políticas de Acesso Condicional, sempre que possível, auditem o uso existente de códigos de dispositivo e bloqueiem políticas de transferência de autenticação. Organizações impactadas devem relatar incidentes ao Internet Crime Complaint Center e preservar dados relevantes. Tendência Crescente em Phishing O phishing por código de dispositivo ganhou força em 2026, com plataformas como **EvilTokens PhaaS** e **Tycoon2FA** também o utilizando para comprometer contas **Microsoft 365** e **Entra**. Isso indica uma mudança mais ampla em direção à exploração de mecanismos de autenticação legítimos para fins maliciosos.