Una nuova piattaforma di phishing-as-a-service chiamata Kali365 sta attirando l’attenzione delle autorità di sicurezza informatica per la sua capacità di compromettere account Microsoft 365 senza dover necessariamente rubare password o codici MFA tradizionali. L’allarme arriva dall’Internet Crime Complaint Center dell’FBI, che ha pubblicato un avviso dedicato a questa minaccia emergente, evidenziando come il kit venga utilizzato per sottrarre token OAuth e ottenere accesso persistente ai servizi cloud Microsoft.
Secondo l’analisi diffusa dall’FBI, Kali365 rappresenta l’evoluzione delle tradizionali campagne di phishing. Gli attaccanti non puntano più soltanto a raccogliere username e password, ma cercano direttamente di ottenere token di autenticazione validi che consentono di accedere a Outlook, Teams, OneDrive e altri servizi Microsoft 365 già autenticati. In questo modo, i criminali riescono spesso ad aggirare anche sistemi di autenticazione multifattore considerati sicuri.
Il modello Phishing-as-a-Service abbassa la soglia tecnica
Kali365 viene distribuito principalmente tramite canali Telegram e forum underground come piattaforma pronta all’uso. Gli operatori mettono a disposizione dashboard, strumenti automatizzati e template di phishing che consentono anche a cybercriminali poco esperti di lanciare campagne sofisticate contro aziende e utenti privati. Questo approccio rientra pienamente nel modello Phishing-as-a-Service, ormai sempre più diffuso nel cybercrime. Come avvenuto con piattaforme come Darcula o Tycoon 2FA, anche Kali365 punta sulla semplicità operativa. Gli affiliati possono acquistare accesso al kit, personalizzare le campagne e monitorare in tempo reale le vittime compromesse. Uno degli aspetti più pericolosi segnalati dall’FBI riguarda l’integrazione di funzioni automatizzate per la generazione di e-mail persuasive. I messaggi imitano notifiche Microsoft, richieste di accesso a documenti condivisi o avvisi di sicurezza, inducendo l’utente a compiere azioni apparentemente legittime.
Device Code Phishing e furto dei token OAuth
La tecnica principale utilizzata da Kali365 è il cosiddetto device code phishing. Si tratta di un abuso di un meccanismo legittimo previsto da Microsoft per consentire l’autenticazione di dispositivi che dispongono di capacità di input limitate, come smart TV o dispositivi IoT. Nel flusso descritto dall’FBI, la vittima riceve un’e-mail che contiene istruzioni per inserire un codice su una pagina Microsoft autentica. L’utente vede quindi un dominio reale e apparentemente affidabile, elemento che contribuisce a ridurre i sospetti. Una volta inserito il codice, però, la vittima autorizza inconsapevolmente il dispositivo controllato dagli attaccanti. A quel punto Kali365 intercetta token OAuth validi che consentono l’accesso ai servizi Microsoft 365 senza necessità di conoscere la password o completare ulteriori richieste MFA. Questo approccio risulta particolarmente efficace perché sfrutta componenti autentici dell’infrastruttura Microsoft e non richiede la creazione di pagine di phishing tradizionali progettate per imitare portali di login. Di conseguenza, molte difese basate sul rilevamento di siti falsi o domini sospetti diventano meno efficaci.
Perché i token rubati sono così preziosi
I token OAuth rappresentano uno degli obiettivi più ricercati dagli attori malevoli moderni. A differenza delle password, i token consentono accesso immediato a servizi cloud già autenticati e possono permettere agli attaccanti di mantenere persistenza anche dopo il cambio della password. Nel caso di Microsoft 365, un token valido può aprire l’accesso a e-mail aziendali, documenti sensibili, conversazioni Teams e dati archiviati su OneDrive. Questo crea un rischio significativo sia per lo spionaggio informatico sia per operazioni di Business Email Compromise. Inoltre, l’utilizzo di token legittimi rende più difficile distinguere l’attività malevola da quella dell’utente reale. Molte sessioni appaiono infatti come normali accessi autenticati, complicando anche il lavoro dei team SOC.
Le contromisure consigliate dall’FBI
L’FBI raccomanda alle organizzazioni di prestare particolare attenzione alle richieste di inserimento di codici di autenticazione ricevute tramite email o piattaforme di messaggistica. Gli utenti dovrebbero verificare sempre l’origine delle richieste e diffidare di procedure di login non avviate direttamente da loro.
Dal punto di vista tecnico, una delle mitigazioni più efficaci consiste nel limitare o disabilitare il device code flow laddove non strettamente necessario. Le aziende possono inoltre rafforzare le policy di Conditional Access, monitorare concessioni OAuth sospette e verificare periodicamente le applicazioni autorizzate nell’ambiente Microsoft 365. Kali365 dimostra ancora una volta come il cybercrime stia evolvendo verso tecniche sempre più focalizzate sull’abuso dei meccanismi di autenticazione cloud piuttosto che sul semplice furto di credenziali.
Per aziende e amministratori Microsoft 365 diventa quindi fondamentale monitorare non solo password e login, ma anche il ciclo di vita dei token di accesso e delle autorizzazioni OAuth.
