Segundo o FBI/IC3, o Kali365 permite que atacantes burlar o MFA ao coletar material de tokens do Microsoft 365. O fluxo de phishing se baseia na inserção de um device-code e na captura subsequente dos tokens de OAuth após a autorização.

O aviso de serviço público do FBI/IC3 descreve o Kali365 como uma plataforma de phishing-as-a-service voltada a coletar tokens, direcionada a atores de ameaças com menor nível técnico. O kit é distribuído, segundo as informações, via Telegram e vendido em formato de assinatura. Em vez de mirar senhas de usuários, a operação foca nos artefatos de autorização do ecossistema Microsoft 365 (OAuth). No esquema descrito, a vítima recebe um prompt que a leva a participar de um processo de autorização de aparência legítima. Durante o fluxo de device-code, a vítima insere o device code em uma página de autorização da Microsoft; depois que ela aprova a autorização, o Kali365 captura os tokens OAuth gerados. Com esses tokens, criminosos podem reutilizar o contexto de sessão autenticada para acessar contas e serviços. O FBI ressalta que essa técnica pode contornar o MFA porque a etapa de segurança do acesso é “cumprida” pela aprovação do usuário no fluxo de device-code. A PSA também afirma que o serviço pode gerar iscas de phishing com assistência de IA e oferecer mecanismos para acompanhar o desempenho das campanhas. Caso haja suspeita de exposição, o IC3 orienta a registrar uma queixa oficial para que o incidente seja investigado e a campanha de phishing mais ampla possa ser vinculada a atividades relacionadas.