По данным ФБР/IC3, Kali365 позволяет атакующим обходить многофакторную аутентификацию, собирая токенные материалы Microsoft 365. В фишинговом сценарии ключевая роль отводится вводу кода устройства и последующему захвату OAuth-токенов.

В публичном уведомлении ФБР/IC3 Kali365 описывается как платформа «фишинг-as-a-service», ориентированная на относительно менее технически подкованных злоумышленников и делающая акцент на захвате токенов. Сообщается, что комплект распространяется через Telegram и продается по подписке. При этом злоумышленники нацеливаются не на пароли пользователей, а на артефакты авторизации OAuth в Microsoft 365. В описанной схеме жертве показывают запрос, который подталкивает ее пройти внешне легитимный процесс авторизации Microsoft. В ходе device-code-потока пострадавший вводит device code на странице авторизации Microsoft, после чего Kali365 перехватывает полученные OAuth-токены, как только жертва одобряет доступ. ФБР указывает, что с такими токенами преступники могут повторно использовать контекст уже аутентифицированной сессии для доступа к аккаунтам и сервисам. Подчеркивается, что этот подход способен обходить MFA, поскольку шаг проверки безопасности фактически «закрывается» пользовательским подтверждением в device-code-потоке. Также в PSA говорится, что сервис может генерировать фишинговые приманки с помощью ИИ и предоставлять механизмы для отслеживания эффективности кампаний. При подозрении на компрометацию IC3 рекомендует подать официальную жалобу, чтобы инцидент расследовали и связали с другими активностями более широкой фишинговой кампании.