- El FBI señala Kali365, un kit de phishing vendido en Telegram que roba tokens OAuth de Microsoft 365 y elude MFA
- Se engaña a las víctimas para que ingresen códigos de dispositivo en páginas legítimas de Microsoft, lo que sin saberlo otorga al atacante acceso a Outlook, Teams y OneDrive.
- Las medidas de mitigación incluyen restringir el flujo de códigos de dispositivos, hacer cumplir políticas de acceso condicional, utilizar auditorías y bloquear políticas de transferencia de autenticación.
El FBI advirtió sobre un nuevo kit de phishing que “reduce la barrera de entrada” y brinda incluso a los actores maliciosos poco calificados una manera fácil de comprometer las cuentas de Microsoft 365 de las personas.
En un anuncio de servicio público (PSA), Microsoft dijo que un nuevo kit de phishing, llamado Kali365, comenzó a circular en Telegram en abril de 2026. Se anuncia como una manera fácil de obtener un token de acceso de Microsoft 365 y evitar la autenticación multifactor (MFA) sin interrumpir el acceso del usuario.
“Con una suscripción a la plataforma Kali365, los actores de amenazas cibernéticas pueden capturar tokens” OAuth “y obtener acceso persistente al entorno Microsoft 365 de una persona/entidad específica”, advirtió el FBI.
Capturando fichas
El kit permite a los actores de amenazas enviar correos electrónicos de phishing que eluden los servicios confiables de productividad en la nube y de intercambio de documentos. Estos correos electrónicos contienen un código de dispositivo con instrucciones para visitar una página de verificación válida de Microsoft e ingresarla. El FBI explicó que las víctimas a las que les dijeron y pegaron en el código del dispositivo en realidad estaban autorizando al dispositivo del atacante a acceder a su cuenta.
Luego pueden capturar el acceso a OAuth y actualizar el token, obteniendo acceso continuo a la cuenta de Microsoft 365 y a todos los servicios que contiene, como Outlook, Teams y OneDrive.
Para mitigar el riesgo, se recomienda a los usuarios restringir los flujos de códigos de dispositivos, crear una política de acceso condicional, monitorear el uso de los flujos de códigos existentes y bloquear las políticas de transferencia de autenticación. Se recomienda a los usuarios que no puedan restringir completamente el uso del flujo de códigos del dispositivo que excluyan las cuentas de acceso de emergencia para evitar el bloqueo.
Los kits de phishing son plataformas que se ofrecen mediante una tarifa en la web oscura, a través de las cuales los actores maliciosos pueden crear flujos de trabajo de phishing completos. Incluyen de todo, desde mensajes de correo electrónico con plantillas que falsifican a las principales marcas hasta páginas de destino completamente funcionales que capturan credenciales de inicio de sesión y códigos MFA. Dependiendo de las funciones utilizadas, se pueden utilizar por tan solo $10 al mes, $1,000 y más.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed.
