we are developers

iMaster Developers

iMaster DevelopersPowered by:

Notícias

17 jun, 2026

Internet Campo de Batalha: Kali365 Sequestra Tokens do Microsoft 365

Redação iMasters

Redação iMasters
Publicidade

A internet evolui como superfície de ataque mais rápido do que a maioria dos playbooks de segurança é atualizada. Consequentemente, acompanhar alertas como o do FBI e traduzir rapidamente para configurações concretas. No ambiente é o que separa um time reativo de um time que antecipa.

O FBI emitiu um alerta urgente em maio de 2026 sobre uma plataforma de Phishing-as-a-Service chamada Kali365, e o que ela faz é tecnicamente perturbador: ela bypassa o MFA sem precisar da sua senha. Se você trabalha com ambientes Microsoft 365, leia com atenção.

Internet: PhaaS Não É Novidade, Mas o Kali365 Mudou o Jogo

Plataformas de Phishing-as-a-Service existem há anos. Contudo, o Kali365 trouxe algo diferente: ele não tenta roubar credenciais. Em vez disso, ele captura OAuth tokens, que são as chaves de sessão que o Microsoft 365 usa para manter um dispositivo autenticado. Ou seja, enquanto você ativa o MFA achando que está protegido, o atacante já tem acesso persistente à sua conta.

A plataforma foi detectada pela primeira vez em abril de 2026 e, desde então, tem sido distribuída principalmente via Telegram. Qualquer pessoa com uma assinatura do serviço, mesmo sem habilidades técnicas avançadas, consegue rodar campanhas completas com dashboards em tempo real e templates automatizados.

Entendendo o Ataque na Internet: Device Code Flow Como Vetor de Entrada

Para compreender o Kali365, é essencial entender o Device Code Flow, que é um mecanismo legítimo do OAuth 2.0. Ele foi criado para autenticar dispositivos sem navegador, como smart TVs e CLIs. O problema é que, quando mal configurado, ele se torna uma porta aberta.

Veja como o ataque funciona na prática:

Passo 1: O lure chega por e-mail

O atacante envia um e-mail se passando por um serviço de produtividade em nuvem. Portanto, parece uma notificação comum do SharePoint, do OneDrive ou de alguma ferramenta de colaboração. Dentro da mensagem, há um código de dispositivo com instruções para acessar uma página legítima da Microsoft e inserir o código.

Passo 2: A vítima se autentica no lugar certo… mas do jeito errado

A página para onde a vítima é direcionada é real. Trata-se de microsoft.com, sem redirecionamentos suspeitos. Ao inserir o código, contudo, o usuário está inadvertidamente autorizando o dispositivo do atacante a acessar sua conta. Neste momento, nenhum dado de senha é transmitido.

Passo 3: O token é capturado

O Kali365 coleta o access token e o refresh token gerados nessa autenticação. Sendo assim, o atacante passa a ter acesso contínuo ao ambiente Microsoft 365 da vítima, incluindo Outlook, Teams e OneDrive, sem precisar de senha ou de qualquer etapa adicional de MFA.

Passo 4: Persistência sem rastros óbvios

Como o acesso acontece por meio de tokens válidos, os logs de segurança tradicionais frequentemente não identificam a sessão como anômala. Consequentemente, o atacante pode permanecer dentro do ambiente por dias ou semanas sem acionar alertas.

Por Que o MFA Não Resolveu Aqui?

Esse é o ponto que mais incomoda a maioria dos times de segurança: o MFA foi ativado, o usuário seguiu o fluxo corretamente, e mesmo assim o ataque funcionou.

A razão é que o Device Code Flow autentica o dispositivo antes da sessão de MFA ser vinculada a um usuário específico. Portanto, ao inserir o código, a vítima completa o MFA para o dispositivo do atacante sem perceber. Em outras palavras, o MFA foi contornado não por uma vulnerabilidade técnica, mas por uma falha de design de experiência, que é a ausência de contexto visual claro sobre o que o código representa.

O Papel da IA na Escalada do Kali365 na Internet

O que diferencia o Kali365 de kits mais antigos é o uso de IA para geração de lures na Internet. Desse modo, os e-mails de phishing produzidos pela plataforma são mais convincentes porque são adaptados ao contexto da vítima, ao setor da empresa e até ao tom de comunicação corporativa que seria esperado.

Isso significa que filtros baseados em padrões textuais ou análise de remetente ficam menos eficazes. Além disso, a plataforma oferece tracking em tempo real, então o atacante sabe exatamente quando a vítima abriu o e-mail, quando acessou a página e quando o token foi capturado.

Como Bloquear o Ataque no Seu Ambiente Microsoft 365

O FBI recomenda ações específicas para equipes de segurança e administradores de sistema. Abaixo estão as principais, com contexto técnico:

Criar uma política de acesso condicional que bloqueie o Device Code Flow

No Azure AD, é possível criar uma Conditional Access Policy que bloqueia explicitamente o grant type de device code. Contudo, antes de aplicar, é necessário auditar quais processos legítimos dependem desse fluxo, como integrações com CLIs, bots ou dispositivos sem navegador.

Bloquear a transferência de autenticação entre dispositivos

O Kali365 também pode usar authentication transfer para mover a sessão de um computador para um dispositivo móvel. Portanto, habilitar a política que bloqueia esse comportamento no Entra ID é uma camada adicional de proteção.

Manter contas de acesso de emergência fora das políticas restritivas

Se você bloquear o Device Code Flow globalmente, inclua exceções para breakglass accounts. Caso contrário, um incidente pode resultar em lockout completo do ambiente.

Revisar sessões ativas e dispositivos registrados

Após configurar as políticas, audite os sign-in logs no Microsoft Entra buscando autenticações via device code que já ocorreram. Afinal, o ataque pode já estar ativo antes das políticas serem aplicadas.

O Que Reportar e Para Onde

Se o seu ambiente foi comprometido ou você identificou tentativas de ataque com o padrão Kali365, o FBI recomenda abrir uma queixa no IC3 em www.ic3.gov. Inclua no reporte os cabeçalhos dos e-mails de phishing, logs de login com IP, horário e localização, e qualquer dispositivo ou sessão não reconhecida que apareça no painel do Microsoft 365.

Além disso, a CISA disponibilizou um guia chamado “Phishing Guidance: Stopping the Attack Cycle at Phase One” com práticas de mitigação específicas para esse tipo de vetor. Vale a leitura para times de segurança que querem estruturar uma resposta mais completa.

Token É a Nova Senha da Internet

O Kali365 deixa claro que o modelo mental de “proteger a senha é suficiente” ficou para trás. Atualmente, o que vale é o token, e quem controla o token controla a sessão. Portanto, times de desenvolvimento e segurança precisam revisar como o Device Code Flow está configurado nos seus ambientes antes de descobrirem isso da pior forma.

Acompanhe nosso perfil no Instagram!

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters e no Instagram/Threads @portalimasters