D’après l’avis de la FBI/IC3, Kali365 permettrait de contourner la MFA en récoltant des éléments de jetons liés à Microsoft 365. L’attaque s’appuie sur un flux de « device-code » : les victimes saisissent un code sur une page d’autorisation Microsoft, puis le kit capture les jetons OAuth après validation.

L’avis de service public de la FBI/IC3 présente Kali365 comme une plateforme de phishing-as-a-service centrée sur la collecte de jetons, pensée pour des acteurs malveillants relativement peu techniques. Le kit serait distribué via Telegram et proposé par abonnement. Contrairement aux attaques axées sur les mots de passe, la méthode décrite vise les artefacts d’autorisation OAuth de Microsoft 365. Dans ce schéma, les victimes reçoivent une demande qui les amène à participer à un processus d’autorisation Microsoft qui ressemble à une procédure légitime. Pendant le flux « device-code », la personne saisit un device code sur une page d’autorisation Microsoft, puis Kali365 récupère les jetons OAuth générés une fois l’autorisation approuvée par la victime. Avec ces jetons, les criminels peuvent potentiellement réutiliser le contexte de session authentifié pour accéder à des comptes et à des services. La FBI souligne que cette approche peut contourner efficacement la MFA, car l’étape de sécurité est satisfaite par l’approbation de l’utilisateur dans le cadre du flux device-code. L’annonce indique également que le service pourrait produire des leurres de phishing assistés par IA et fournir des mécanismes pour suivre les performances des campagnes. En cas de suspicion d’exposition, l’IC3 recommande de déposer une plainte officielle afin de permettre l’enquête sur l’incident et d’établir le lien avec d’autres activités associées à la campagne de phishing.