Device code phishing атаките се превръщат в една от най-опасните заплахи за Microsoft Entra и cloud акаунтите

ФБР предупреди за бързо разрастваща се phishing-as-a-service (PhaaS) платформа, наречена Kali365, която позволява компрометиране на Microsoft 365 акаунти чрез злоупотреба с OAuth device code authentication механизма.

Според американските власти платформата се използва за кражба на session tokens и заобикаляне на multi-factor authentication (MFA), без нападателите да се нуждаят от пароли или прихващане на еднократни кодове.

Kali365 се разпространява чрез Telegram

По данни на ФБР Kali365 се е появила през април 2026 г. и се предлага чрез Telegram канали, насочени към киберпрестъпници с ограничени технически умения.

Платформата предоставя готова инфраструктура за:

• phishing кампании;
• token hijacking;
• real-time victim tracking;
• автоматизирани шаблони;
• AI-генерирани phishing примамки;
• кражба на authenticated sessions.

Това значително понижава бариерата за извършване на сложни cloud атаки срещу корпоративни среди.

Как работи device code phishing атаката

Атаката злоупотребява с легитимната OAuth 2.0 Device Authorization функционалност, предназначена за устройства с ограничени възможности за въвеждане на данни, като:

• smart TV устройства;
• IoT системи;
• конферентни платформи;
• принтери;
• streaming устройства.

При нормална употреба потребителят въвежда кратък код в официалния портал:

Microsoft Device Login

След успешна автентикация устройството получава достъп до акаунта.

Атакуващите използват легитимния Microsoft процес

При Kali365 схемата нападателите първо стартират device authorization процеса и генерират валиден код.

След това чрез phishing или social engineering убеждават жертвата сама да въведе кода в официалния Microsoft портал.

След успешното MFA потвърждение Microsoft издава OAuth access token, който дава пълен достъп до акаунта.

Така атакуващите:

• не крадат паролата;
• не прихващат MFA кодове;
• не се нуждаят от malware на устройството;
• използват легитимна cloud функционалност.

Компрометират се Microsoft 365, Salesforce и SaaS платформи

След успешното hijacking нападателите получават достъп до всички приложения, свързани със single sign-on акаунта, включително:

• Microsoft 365;
• Microsoft Entra;
• Salesforce;
• cloud SaaS среди;
• корпоративна електронна поща;
• вътрешни портали.

Изследователи от Arctic Wolf съобщават, че атакуващите често:

• създават malicious inbox rules;
• прикриват активността си в пощенските кутии;
• регистрират нови устройства;
• осигуряват persistence в средата;
• разширяват достъпа си в компрометираните мрежи.

Kali365 работи като истински криминален бизнес

Според анализа платформата функционира по модел, сходен с легитимните SaaS услуги.

Инфраструктурата включва:

• администратори;
• разработчици;
• reseller партньори;
• affiliates, извършващи атаките.

Kali365 предлага два основни режима:

Device code phishing

Класическият сценарий с OAuth device code authorization.

Cookie Link (AiTM режим)

Тук се използва adversary-in-the-middle инфраструктура, която proxy-ира сесиите през контролирани от нападателите сървъри.

Това позволява:

• кражба на session cookies;
• прихващане на authentication tokens;
• компрометиране на браузърни сесии;
• заобикаляне на MFA след успешен login.

Device code phishing се превръща в масова тенденция

През 2026 г. device code phishing атаките се използват все по-широко от различни киберпрестъпни групи.

Сред платформите, използващи подобни техники, се посочват:

• EvilTokens PhaaS;
• Tycoon2FA;
• операции, свързвани с ShinyHunters.

Причината за популярността им е, че традиционните MFA механизми често не могат да спрат token-based hijacking атаките.

Как организациите могат да се защитят

ФБР препоръчва компаниите да:

• ограничат или изключат device code authentication;
• използват Conditional Access политики;
• наблюдават device registration активността;
• блокират authentication transfer между устройства;
• анализират необичайни OAuth token заявки;
• следят за подозрителни inbox rules;
• обучават служителите за device code phishing атаки.

Допълнително се препоръчва:

• token protection;
• session risk analysis;
• continuous authentication;
• identity threat detection and response (ITDR).

Identity-based атаките изместват класическия phishing

Случаят с Kali365 показва как киберпрестъпните операции постепенно преминават от кражба на пароли към компрометиране на identity инфраструктурата и session токените.

Все по-често атакуващите използват легитимни cloud механизми и OAuth функционалности, което прави detection-а значително по-труден за традиционните защитни решения.