El FBI advierte sobre Kali365, una plataforma de phishing como servicio
(PhaaS) utilizada para secuestrar cuentas de Microsoft 365 mediante el abuso
de la autenticación de código de dispositivo OAuth, robando tokens de sesión y
eludiendo la autenticación multifactor (MFA).
Según el
comunicado del FBI y la empresa ArticWolf, Kali365 surgió en abril de 2026 y se distribuye a través de canales de
Telegram para ciberdelincuentes que buscan una forma más sencilla de
comprometer cuentas de Microsoft 365 sin robar contraseñas ni interceptar
códigos MFA.
La plataforma utiliza el phishing de código de dispositivo, un método cada vez
más popular que abusa del
flujo legítimo de autorización de dispositivos OAuth 2.0 de Microsoft
para obtener acceso a cuentas de Microsoft Entra y Microsoft 365.
Este método de autenticación se creó para permitir que dispositivos con
capacidades de entrada limitadas, como televisores inteligentes, sistemas de
salas de conferencias, dispositivos de transmisión, impresoras y dispositivos
IoT, se autentiquen a través de otro dispositivo mediante un código corto en
el portal de inicio de sesión de código de dispositivo de Microsoft:
http://microsoft.com/devicelogin.
En febrero,
BleepingComputer informó
que grupos de extorsionadores, incluido el grupo de ciberdelincuentes
ShinyHunters, estaban atacando las cuentas de Microsoft Entra mediante
phishing de código de dispositivo y de voz.
A principios de abril de 2026, de forma similar a la campaña generalizada
«Riding the Rails»,
detectada por primera vez a finales de marzo por Huntress, se observó que los ciberdelincuentes abusaban del flujo de códigos de
dispositivo OAuth para engañar a las víctimas, obtener códigos de
autenticación y conseguir acceso inicial a sus entornos.
En estos ataques, los ciberdelincuentes inician el proceso de autorización del
dispositivo para generar un código y luego engañan a las víctimas para que lo
ingresen en la página de inicio de sesión de Microsoft mediante phishing e
ingeniería social.
Una vez que la víctima introduce el código y completa la autenticación
multifactor (MFA), Microsoft emite un token de acceso OAuth que otorga al
atacante acceso completo a su cuenta sin necesidad de que resuelva ningún
desafío de MFA. Los atacantes ahora tienen acceso completo a todas las
aplicaciones a las que el usuario normalmente accede a través de su cuenta de
inicio de sesión único, incluyendo Microsoft 365, Salesforce o cualquier otra
plataforma SaaS en la nube, que luego utilizan para robar datos.
El FBI advierte que Kali365 proporciona incluso a atacantes con poca
experiencia acceso a capacidades avanzadas de phishing, incluyendo señuelos
de phishing generados por IA, plantillas de campaña automatizadas, paneles
de seguimiento de víctimas en tiempo real y funcionalidad de captura de
tokens.
Investigadores de seguridad de
Arctic Wolf informaron
sobre la actividad de Kali365 en abril tras observar una campaña generalizada
dirigida a organizaciones de todo el mundo. Los investigadores indicaron que
las campañas se dirigían principalmente a entornos de Microsoft 365 mediante
correos electrónicos de phishing que dirigían a las víctimas al portal de
inicio de sesión con código de dispositivo de Microsoft, donde, sin saberlo,
autorizaban a los atacantes a acceder a sus cuentas.
Los investigadores afirmaron que los ataques resultantes permitieron a los
atacantes acceder a los buzones de correo, donde crearon reglas maliciosas
para ocultar su actividad. En algunos ataques, los atacantes también
registraron nuevos dispositivos en los entornos de Microsoft de las víctimas,
ampliando así su acceso a la red comprometida.
Arctic Wolf descubrió que Kali365 opera como una empresa, con administradores
que gestionan el desarrollo del producto, revendedores que promocionan el
servicio entre otros ciberdelincuentes y afiliados que realizan ataques de
phishing.
Los investigadores señalan que la plataforma ofrece dos modos de ataque
distintos: el primero es el phishing mediante código de dispositivo y el
segundo es un modo de ataque de intermediario (AitM) denominado
«Cookie Link».
Cookie Link actúa como proxy para las víctimas a través de una infraestructura
controlada por el atacante que captura las sesiones de navegador autenticadas,
las cookies de sesión y los tokens después de que las víctimas inicien sesión
y resuelvan los desafíos de autenticación multifactor (MFA).
El FBI recomienda a las empresas restringir o
bloquear por completo los flujos de autenticación mediante código de
dispositivo utilizando políticas de acceso condicional siempre que sea
posible,
auditar el uso actual del código de dispositivo y bloquear las políticas de
transferencia de autenticación que permiten que las sesiones de autenticación
se muevan entre dispositivos.
El phishing mediante código de dispositivo se ha generalizado en 2026, y otros
ciberdelincuentes y plataformas lo utilizan ahora como parte de sus campañas y
ataques de phishing.
Esta adopción incluye a
EvilTokens PhaaS
y
Tycoon2FA, que también lo utilizan para comprometer cuentas de Microsoft 365 y Entra.
Fuente: BC