🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O FBI está alertando sobre a plataforma de phishing como serviço (PhaaS) Kali365 que é usada para sequestrar contas do Microsoft 365, abusando da autenticação de código de dispositivo OAuth para roubar tokens de sessão e ignorar a autenticação multifator (MFA).
De acordo com o PSA do FBI, o Kali365 surgiu pela primeira vez em abril de 2026 e é distribuído por meio de canais do Telegram para cibercriminosos que buscam uma maneira mais fácil de comprometer contas do Microsoft 365 sem roubar senhas ou interceptar códigos MFA.
A plataforma usa phishing de código de dispositivo, um método cada vez mais popular que abusa do fluxo legítimo de concessão de autorização de dispositivo OAuth 2.0 da Microsoft para obter acesso a contas do Microsoft Entra e do Microsoft 365.
Este método de autenticação foi criado para permitir que dispositivos com capacidades de entrada limitadas, como smart TVs, sistemas de sala de conferência, dispositivos de streaming, impressoras e dispositivos IoT, se autentiquem através de outro dispositivo usando um código curto no portal de login de código de dispositivo da Microsoft, http://microsoft.com/devicelogin.
Formulário de autenticação de código de dispositivoFonte: BleepingComputer
Em fevereiro, o BleepingComputer relatou que gangues de extorsão, incluindo o grupo de crimes cibernéticos ShinyHunters, tinham como alvo contas Microsoft Entra por meio de código de dispositivo e phishing de voz.
Nesses ataques, os próprios agentes da ameaça iniciam o processo de autorização do dispositivo para gerar um código e, em seguida, enganam os alvos para que o insiram na página de login da Microsoft por meio de phishing e engenharia social.
Depois que a vítima insere o código e conclui a MFA, a Microsoft emite um token de acesso OAuth que concede ao autor da ameaça acesso total à sua conta sem exigir que ele resolva quaisquer desafios de MFA.
Os atores da ameaça agora têm acesso total a todos os aplicativos aos quais o usuário normalmente tem acesso por meio de sua conta de logon único, incluindo Microsoft 365, Salesforce ou qualquer outra plataforma SaaS em nuvem, que são então usadas para roubar dados.
O FBI alerta que o Kali365 dá até mesmo aos invasores pouco qualificados acesso a recursos avançados de phishing, incluindo iscas de phishing geradas por IA, modelos de campanha automatizados, painéis de rastreamento de vítimas em tempo real e funcionalidade de captura de tokens.
Pesquisadores de segurança da Arctic Wolf relataram a atividade do Kali365 em abril, após observarem uma campanha generalizada visando organizações em todo o mundo.
Os pesquisadores disseram que as campanhas visavam principalmente ambientes Microsoft 365 usando e-mails de phishing que direcionavam as vítimas ao portal de login com código de dispositivo da Microsoft, onde autorizavam inadvertidamente invasores a acessar suas contas.
Os pesquisadores disseram que os ataques resultantes deram aos hackers acesso às suas caixas de correio, onde criaram regras maliciosas para caixas de entrada destinadas a ocultar suas atividades.
Em alguns dos ataques, os invasores também registraram novos dispositivos nos ambientes Microsoft das vítimas, ampliando ainda mais o acesso à rede violada.
A Arctic Wolf descobriu que o Kali365 opera como uma empresa, com administradores que gerenciam o desenvolvimento de produtos, revendedores que promovem o serviço para outros agentes de ameaças e afiliados que conduzem ataques de phishing.
Os pesquisadores dizem que a plataforma oferece dois modos de ataque separados, sendo o primeiro o phishing de código do dispositivo e o segundo um modo adversário no meio (AitM) chamado “Cookie Link”.
O Cookie Link faz proxy das vítimas por meio de infraestrutura controlada pelo invasor que captura sessões autenticadas do navegador, cookies de sessão e tokens depois que os alvos fazem login e resolvem desafios de MFA.
O FBI recomenda que as empresas restrinjam ou bloqueiem completamente os fluxos de autenticação de código de dispositivo usando políticas de acesso condicional sempre que possível, auditem o uso de código de dispositivo existente e bloqueiem políticas de transferência de autenticação que permitem que sessões de autenticação se movam entre dispositivos.
A agência também instou as organizações afetadas a relatar incidentes ao Internet Crime Complaint Center e a preservar e-mails de phishing, informações de login suspeitas e registros de dispositivos não autorizados.
O phishing de código de dispositivo foi amplamente adotado em 2026, com outros atores e plataformas de ameaças agora usando-o como parte de suas campanhas e ataques de phishing.
Essa adoção inclui o EvilTokens PhaaS e o Tycoon2FA, que também o utilizam para comprometer contas do Microsoft 365 e Entra.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
De acordo com o PSA do FBI, o Kali365 surgiu pela primeira vez em abril de 2026 e é distribuído por meio de canais do Telegram para cibercriminosos que buscam uma maneira mais fácil de comprometer contas do Microsoft 365 sem roubar senhas ou interceptar códigos MFA.
A plataforma usa phishing de código de dispositivo, um método cada vez mais popular que abusa do fluxo legítimo de concessão de autorização de dispositivo OAuth 2.0 da Microsoft para obter acesso a contas do Microsoft Entra e do Microsoft 365.
Este método de autenticação foi criado para permitir que dispositivos com capacidades de entrada limitadas, como smart TVs, sistemas de sala de conferência, dispositivos de streaming, impressoras e dispositivos IoT, se autentiquem através de outro dispositivo usando um código curto no portal de login de código de dispositivo da Microsoft, http://microsoft.com/devicelogin.
Formulário de autenticação de código de dispositivoFonte: BleepingComputer
Em fevereiro, o BleepingComputer relatou que gangues de extorsão, incluindo o grupo de crimes cibernéticos ShinyHunters, tinham como alvo contas Microsoft Entra por meio de código de dispositivo e phishing de voz.
Nesses ataques, os próprios agentes da ameaça iniciam o processo de autorização do dispositivo para gerar um código e, em seguida, enganam os alvos para que o insiram na página de login da Microsoft por meio de phishing e engenharia social.
Depois que a vítima insere o código e conclui a MFA, a Microsoft emite um token de acesso OAuth que concede ao autor da ameaça acesso total à sua conta sem exigir que ele resolva quaisquer desafios de MFA.
Os atores da ameaça agora têm acesso total a todos os aplicativos aos quais o usuário normalmente tem acesso por meio de sua conta de logon único, incluindo Microsoft 365, Salesforce ou qualquer outra plataforma SaaS em nuvem, que são então usadas para roubar dados.
O FBI alerta que o Kali365 dá até mesmo aos invasores pouco qualificados acesso a recursos avançados de phishing, incluindo iscas de phishing geradas por IA, modelos de campanha automatizados, painéis de rastreamento de vítimas em tempo real e funcionalidade de captura de tokens.
Pesquisadores de segurança da Arctic Wolf relataram a atividade do Kali365 em abril, após observarem uma campanha generalizada visando organizações em todo o mundo.
Os pesquisadores disseram que as campanhas visavam principalmente ambientes Microsoft 365 usando e-mails de phishing que direcionavam as vítimas ao portal de login com código de dispositivo da Microsoft, onde autorizavam inadvertidamente invasores a acessar suas contas.
Os pesquisadores disseram que os ataques resultantes deram aos hackers acesso às suas caixas de correio, onde criaram regras maliciosas para caixas de entrada destinadas a ocultar suas atividades.
Em alguns dos ataques, os invasores também registraram novos dispositivos nos ambientes Microsoft das vítimas, ampliando ainda mais o acesso à rede violada.
A Arctic Wolf descobriu que o Kali365 opera como uma empresa, com administradores que gerenciam o desenvolvimento de produtos, revendedores que promovem o serviço para outros agentes de ameaças e afiliados que conduzem ataques de phishing.
Os pesquisadores dizem que a plataforma oferece dois modos de ataque separados, sendo o primeiro o phishing de código do dispositivo e o segundo um modo adversário no meio (AitM) chamado “Cookie Link”.
O Cookie Link faz proxy das vítimas por meio de infraestrutura controlada pelo invasor que captura sessões autenticadas do navegador, cookies de sessão e tokens depois que os alvos fazem login e resolvem desafios de MFA.
O FBI recomenda que as empresas restrinjam ou bloqueiem completamente os fluxos de autenticação de código de dispositivo usando políticas de acesso condicional sempre que possível, auditem o uso de código de dispositivo existente e bloqueiem políticas de transferência de autenticação que permitem que sessões de autenticação se movam entre dispositivos.
A agência também instou as organizações afetadas a relatar incidentes ao Internet Crime Complaint Center e a preservar e-mails de phishing, informações de login suspeitas e registros de dispositivos não autorizados.
O phishing de código de dispositivo foi amplamente adotado em 2026, com outros atores e plataformas de ameaças agora usando-o como parte de suas campanhas e ataques de phishing.
Essa adoção inclui o EvilTokens PhaaS e o Tycoon2FA, que também o utilizam para comprometer contas do Microsoft 365 e Entra.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #fbi #alerta #sobre #serviço #de #phishing #kali365 #direcionado #a #contas #do #microsoft #365
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário