A FBI, por meio do IC3, emitiu um aviso sobre o kit Kali365 de phishing-as-a-service (PhaaS), que ataca ambientes do Microsoft 365 ao roubar tokens de acesso. A técnica é voltada ao sequestro de contas e a fraudes posteriores, com foco em roubo de token e não apenas na captura tradicional de credenciais.

O FBI’s Internet Crime Complaint Center (IC3) publicou um alerta sobre o Kali365, um kit de phishing-as-a-service (PhaaS) que tem como alvo ambientes do Microsoft 365 ao roubar tokens de acesso. No aviso do IC3, o método é descrito como uma forma de contornar defesas comuns: os atacantes buscam obter acesso às sessões por meio de sequestro de tokens, permitindo manter atividades autenticadas sem precisar inserir senhas repetidamente. O roubo de tokens é especialmente perigoso porque transforma uma invasão em controle imediato da conta, o que pode dar aos criminosos acesso ao e-mail, a arquivos e a outros recursos associados ao tenant da vítima. A partir daí, a fraude pode evoluir rapidamente: os agentes maliciosos podem se passar pelo proprietário da conta para executar golpes de transferência bancária, enviar phishing adicional para contatos ou distribuir links maliciosos por canais que parecem confiáveis. O IC3 também enquadra o Kali365 como parte de um ecossistema em que a infraestrutura de phishing e as capacidades operacionais são empacotadas e vendidas ou disponibilizadas a outros criminosos, reduzindo a barreira de entrada para atacantes e aumentando a quantidade de vítimas. Para as organizações, a lição prática é tratar a proteção de tokens, o monitoramento de sessões e a resistência ao phishing como controles centrais, complementando o treinamento de usuários com medidas de segurança de identidade capazes de detectar logins incomuns e revogar sessões quando surgirem indícios de comprometimento. O alerta ainda reforça a importância de reportar incidentes para permitir o acompanhamento de tendências.