ФБР предупредило о Kali365: новый фишинговый сервис крадёт токены Microsoft 365 и обходит MFA

ФБР выпустило предупреждение о новой платформе Kali365, которая продаётся как Phishing-as-a-Service — фишинг как услуга. Набор появился в апреле 2026 года и распространяется в основном через Telegram. Его главная особенность — кража не паролей, а OAuth-токенов Microsoft 365, которые дают доступ к аккаунту без повторного прохождения многофакторной аутентификации.

Это важная смена механики. В классическом фишинге жертву ведут на поддельную страницу входа и забирают логин, пароль и код MFA. Kali365 работает иначе: человек сам вводит код на настоящей странице Microsoft, думая, что получает доступ к документу, SharePoint-файлу или облачному сервису. В этот момент он не вводит пароль на сайте злоумышленника, но авторизует чужую сессию.

В основе атаки —  поток авторизации по коду устройства (OAuth device code flow). Это легитимный механизм для устройств, где неудобно вводить логин и пароль: телевизоров, принтеров, IoT-устройств, терминалов и похожих сценариев. Пользователь видит короткий код, открывает страницу Microsoft, вводит его и подтверждает вход. В нормальной ситуации так авторизуется его собственное устройство. В атаке код заранее создаёт злоумышленник.

Сценарий выглядит почти безобидно. Пользователю приходит письмо от имени облачного сервиса, платформы документооборота или внутреннего портала. В письме есть код и инструкция перейти на реальную страницу Microsoft для проверки доступа. После ввода кода и прохождения обычного входа атакующий получает access token и refresh token. Эти токены позволяют читать почту, заходить в Teams, OneDrive и другие сервисы Microsoft 365 без знания пароля пользователя.

Именно поэтому MFA здесь не является полноценной защитой. Пользователь действительно проходит MFA на настоящей странице Microsoft. Проблема в том, что он подтверждает не свой сеанс, а сеанс атакующего. Для системы это выглядит как обычная авторизация через легитимный протокол. Для SOC это неприятный тип события: нет очевидной поддельной страницы входа, нет украденного пароля в привычном виде, а активная сессия уже выдана.

Kali365 снижает порог входа для атакующих. ФБР пишет, что подписчики сервиса получают ИИ-сгенерированные фишинговые приманки, готовые шаблоны кампаний, панели отслеживания целей в реальном времени и функции захвата OAuth-токенов. 

Arctic Wolf начала отслеживать связанную кампанию в начале апреля 2026 года. Исследователи описали Kali365 Live как многоарендную PhaaS-платформу: есть администраторский уровень, уровень реселлеров и клиентский уровень для платных операторов. В панели можно готовить кампании, управлять приманками, собирать токены и вести дальнейшие действия после компрометации.

Стоимость доступа тоже похожа на обычную подписку. The Register со ссылкой на анализ Arctic Wolf пишет о тарифах 250 долларов за 30 дней и 2000 долларов за год. Платформа поддерживает несколько языков, включая английский, русский, испанский, французский, немецкий, китайский, арабский, японский, корейский и другие.

В приманках злоумышленники имитируют доверенные облачные и документные сервисы. The Register указывает Adobe Acrobat Sign, DocuSign и SharePoint. Логика понятна: корпоративный пользователь привык получать документы на подпись, ссылки на файлы и уведомления из SharePoint. Код устройства в таком письме выглядит странно только для тех, кто уже знает этот тип атаки.

После получения доступа атакующие не обязательно сразу крадут всё подряд. Arctic Wolf наблюдала случаи, когда в Microsoft 365 создавались вредоносные правила почты: сообщения с ключевыми словами вроде “spam”, “phish”, “click”, “link” и “SharePoint” автоматически переносились в отдельную папку и помечались как прочитанные. Это помогает скрыть предупреждения службы безопасности, жалобы пользователей и уведомления о подозрительной активности.

Ещё один приём — регистрация дополнительного устройства в среде Microsoft после получения токена. Так атакующий пытается продлить доступ и сделать его похожим на доверенное подключение. Для компании это полноценный захват идентичности: злоумышленник получает почту, файлы, Teams-чаты и возможность двигаться дальше по организации.

У Kali365 есть и второй сценарий — adversary-in-the-middle, или атака через промежуточный прокси. В этом варианте жертва проходит обычный вход на настоящей странице Microsoft через инфраструктуру злоумышленника, а сервис перехватывает сессионные кукис и связанные артефакты. Механика отличается от фишинга кода устройства, но результат похожий: оператор получает рабочую сессию и может воспроизвести её в своей среде.

Защита есть, но её нужно включать на уровне политики. FBI рекомендует ограничить или заблокировать device code flow через Conditional Access, предварительно проверив, где этот механизм реально нужен. Microsoft в документации также описывает политику блокировки authentication flows: для организаций, которые не используют device code flow в рабочих процессах, его можно закрыть, оставив исключения только для документированных сценариев.

Администраторам стоит отдельно смотреть логи входа по device code flow, новые устройства, неожиданные рефреш токен-сессии, входы из непривычных стран и клиентов, создание правил почты, массовое чтение писем и обращения к Graph API. После подозрительного события недостаточно сменить пароль: нужно отозвать рефреш-токены, завершить сессии, удалить вредоносные правила почты и проверить зарегистрированные устройства.