ФБР предупредило о фишинговом наборе Kali365 для обхода MFA в Microsoft 365

ФБР выпустило предупреждение об активном распространении фишингового набора Kali365, который существенно упрощает атаку на корпоративные учетные записи Microsoft 365 для злоумышленников с низким уровнем технической подготовки. Инструмент стал доступен в мессенджере Telegram в апреле 2026 года и функционирует по модели платной подписки, что делает его крайне доступным на теневом рынке.

Механика компрометации через OAuth

В отличие от традиционных методов, направленных на кражу логинов и паролей, Kali365 нацелен на перехват токенов доступа OAuth. Фишинговая кампания строится на рассылке электронных писем, имитирующих популярные облачные сервисы для обмена документами и совместной работы. Внутри таких сообщений содержится инструкция и код устройства, который жертве предлагается ввести на легитимном ресурсе верификации Microsoft.Если говорить проще, пользователь своими руками выдает разрешение на доступ к собственному аккаунту. Когда жертва копирует код на странице Microsoft, она фактически авторизует устройство злоумышленника в своей сессии. В результате атакующий получает OAuth-токены доступа и обновления, что дает ему долгосрочный контроль над средой Microsoft 365, включая доступ к данным внутри Outlook, Teams и OneDrive, минуя классические механизмы многофакторной аутентификации (MFA).

Рекомендации по защите

Специалисты по кибербезопасности предлагают ряд мер для снижения риска эксплуатации этой уязвимости. В первую очередь рекомендуется ограничить использование потока кодов устройств (device code flow) и настроить политики условного доступа. Практически это означает необходимость проведения аудита уже используемых кодов и блокировку политик передачи аутентификационных данных.Для организаций, не имеющих возможности полностью отключить использование потока кодов устройств, обязательным условием является исключение учетных записей аварийного доступа (emergency access accounts) из подобных ограничений. Это позволит избежать блокировки администраторов в критических ситуациях.Фишинговые наборы, подобные Kali365, представляют собой комплексные платформы, продающиеся в даркнете. За фиксированную плату злоумышленники получают готовые сценарии атак, шаблоны писем, имитирующие известные компании, и дееспособные лендинги для захвата сессий. Стоимость такого ПО варьируется от 10 долларов США в месяц до более тысячи, в зависимости от функционального наполнения набора инструментов.