El FBI advierte a las organizaciones y defensores sobre Kali365, una creciente plataforma de phishing como servicio que recupera tokens de acceso a Microsoft 365, emitiendo un anuncio de servicio publico Jueves.

El conjunto de herramientas evita la autenticación multifactor y abusa de las autorizaciones de código de dispositivo OAuth mediante señuelos de phishing que se hacen pasar por servicios empresariales comunes. Esta técnica otorga a las aplicaciones controladas por ciberdelincuentes acceso a cuentas de Microsoft 365, lo que abre a las víctimas a una serie de actividades maliciosas posteriores, que incluyen robo de datos, fraude, extorsión y ataques de ransomware.

Kali365 es una de las muchas herramientas de phishing de códigos de dispositivos que están surgiendo rápidamente y que están ganando popularidad como un medio más eficaz para que los ciberdelincuentes eludan los controles de seguridad mientras abusan de las páginas legítimas de autorización de dispositivos de Microsoft, según los investigadores.

En lugar de obtener acceso a cuentas mediante kits de phishing que roban credenciales y códigos de autenticación de segundo factor, las plataformas de phishing con código de dispositivo conectan una aplicación maliciosa a una cuenta legítima con un único código. El proceso requiere menos pasos y menos interacción con el usuario, pero las víctimas deben copiar y pegar un código generado por la plataforma Kali365 para otorgar acceso.

«Vemos bastante de esta actividad de phishing de código de dispositivo, pero gran parte parece muy similar. Todos utilizan los mismos tipos de señuelos, los mismos tipos de contenido, la misma marca», dijo a CyberScoop Selena Larson, investigadora senior de amenazas en Proofpoint. «Es en gran medida generado por la IA, impulsado por la IA, y creo que los actores de amenazas lo encuentran bastante efectivo porque estamos viendo que este cambio ocurre de una vez».

Los investigadores de Proofpoint observaron siete herramientas de phishing de códigos de dispositivos que parecía casi idéntico durante un período de 10 días el mes pasado.

El phishing de código de dispositivo no es nuevo, pero plataformas como Kali365 han integrado nuevas técnicas que difieren del phishing MFA y, como resultado, podrían ser más efectivas. «Es algo a lo que la gente quizás no esté acostumbrada. Es un poco más elegante», dijo Larson.

Esto también explica en parte por qué estas herramientas cibercriminales están creciendo tan rápidamente. Larson dijo que Proofpoint observó una explosión en la actividad de phishing de códigos de dispositivos a partir de febrero.

En abril, Kali365 estaba en funcionamiento y se distribuía principalmente en Telegram, según el FBI. «Kali365 reduce la barrera de entrada, brindando a los atacantes menos técnicos acceso a señuelos de phishing generados por IA, plantillas de campaña automatizadas, paneles de seguimiento de individuos/entidades específicos en tiempo real y capacidades de captura de tokens OAuth», dijo la agencia en la advertencia pública.

Investigadores de Arctic Wolf Labs, que también ha estado rastreando campañas a gran escala vinculadas a Kali365dijo que la plataforma cobra a los afiliados 250 dólares por 30 días de servicio o 2.000 dólares por un año completo.

Kali365 almacena los tokens de actualización y acceso de OAuth que captura y los pone a disposición de los afiliados en su plataforma. Esos tokens también pueden ser compartidos y reutilizados por otros ciberdelincuentes que no participaron en el señuelo de phishing inicial, agregaron los investigadores de Arctic Wolf.

El FBI también señaló que estos tokens de Microsoft 365 brindan acceso persistente, lo que permite a los atacantes navegar por múltiples servicios de Microsoft sin una contraseña ni solicitudes MFA adicionales.

«La identidad puede ser muy, muy poderosa una vez que estás en una organización», dijo Larson, y agregó que los atacantes pueden abusar de ese acceso para hacerse pasar por personas, acceder y robar datos para extorsionar, cometer fraude y desplegar malware.