FBI memperingatkan tentang platform phishing-as-a-service (PhaaS) Kali365 yang digunakan untuk membajak akun Microsoft 365 dengan menyalahgunakan autentikasi kode perangkat OAuth untuk mencuri token sesi dan melewati autentikasi multifaktor (MFA).
Menurut PSA FBIKali365 pertama kali muncul pada bulan April 2026 dan didistribusikan melalui saluran Telegram untuk penjahat dunia maya yang mencari cara yang lebih mudah untuk menyusupi akun Microsoft 365 tanpa mencuri kata sandi atau menyadap kode MFA.
Platform ini menggunakan phishing kode perangkat, metode yang semakin populer dan sering disalahgunakan Alur hibah Otorisasi Perangkat OAuth 2.0 Microsoft yang sah untuk mendapatkan akses ke akun Microsoft Entra dan Microsoft 365.
Metode autentikasi ini dibuat untuk memungkinkan perangkat dengan kemampuan input terbatas, seperti smart TV, sistem ruang konferensi, perangkat streaming, printer, dan perangkat IoT, untuk mengautentikasi melalui perangkat lain menggunakan kode pendek di portal masuk kode perangkat Microsoft, http://microsoft.com/devicelogin.
Sumber: BleepingComputer
Pada bulan Februari, BleepingComputer melaporkan bahwa geng pemerasan, termasuk kelompok kejahatan dunia maya ShinyHunters, menargetkan akun Microsoft Entra melalui kode perangkat dan phishing suara.
Dalam serangan ini, pelaku ancaman memulai sendiri proses otorisasi perangkat untuk menghasilkan kode, lalu mengelabui target agar memasukkannya ke halaman login Microsoft melalui phishing dan rekayasa sosial.
Setelah korban memasukkan kode dan menyelesaikan MFA, Microsoft mengeluarkan token akses OAuth yang memberikan pelaku ancaman akses penuh ke akun mereka tanpa mengharuskan mereka menyelesaikan tantangan MFA apa pun.
Pelaku ancaman kini memiliki akses penuh ke semua aplikasi yang biasanya dapat diakses pengguna melalui akun sistem masuk tunggal mereka, termasuk Microsoft 365, Salesforce, atau platform cloud SaaS lainnya, yang kemudian digunakan untuk mencuri data.
FBI memperingatkan bahwa Kali365 bahkan memberi penyerang berketerampilan rendah akses ke kemampuan phishing tingkat lanjut, termasuk umpan phishing yang dihasilkan AI, templat kampanye otomatis, dasbor pelacakan korban secara real-time, dan fungsi penangkapan token.
Peneliti keamanan di Serigala Arktik melaporkan aktivitas Kali365 pada bulan April setelah mengamati kampanye yang meluas yang menargetkan organisasi di seluruh dunia.
Para peneliti mengatakan bahwa kampanye tersebut terutama menargetkan lingkungan Microsoft 365 menggunakan email phishing yang mengarahkan korban ke portal masuk kode perangkat Microsoft, di mana mereka tanpa sadar mengizinkan penyerang untuk mengakses akun mereka.
Para peneliti mengatakan serangan yang dihasilkan memberi para peretas akses ke kotak surat mereka, tempat mereka membuat aturan kotak masuk berbahaya yang dirancang untuk menyembunyikan aktivitas mereka.
Dalam beberapa serangan, penyerang juga mendaftarkan perangkat baru di lingkungan Microsoft milik korban, sehingga semakin memperluas akses mereka ke jaringan yang dibobol.
Arctic Wolf menemukan bahwa Kali365 beroperasi sebagai sebuah bisnis, dengan admin yang mengelola pengembangan produk, pengecer yang mempromosikan layanan kepada pelaku ancaman lainnya, dan afiliasi yang melakukan serangan phishing.
Para peneliti mengatakan platform tersebut menawarkan dua mode serangan terpisah, yang pertama adalah phishing kode perangkat dan yang kedua adalah mode musuh di tengah (AitM) bernama “Cookie Link.”
Cookie Link memproksi korban melalui infrastruktur yang dikendalikan penyerang yang menangkap sesi browser terotentikasi, cookie sesi, dan token setelah target masuk dan memecahkan tantangan MFA.
FBI merekomendasikan perusahaan untuk membatasi atau sepenuhnya memblokir aliran autentikasi kode perangkat menggunakan kebijakan Akses Bersyarat jika memungkinkan, mengaudit penggunaan kode perangkat yang ada, dan memblokir kebijakan transfer autentikasi yang memungkinkan sesi autentikasi berpindah antar perangkat.
Badan tersebut juga mendesak organisasi-organisasi yang terkena dampak untuk melaporkan insiden tersebut ke Pusat Pengaduan Kejahatan Internet dan menyimpan email phishing, informasi login yang mencurigakan, dan registrasi perangkat yang tidak sah.
Phishing kode perangkat telah diadopsi secara luas pada tahun 2026, dengan pelaku ancaman dan platform lain kini menggunakannya sebagai bagian dari kampanye dan serangan phishing mereka.
Adopsi ini mencakup PhaaS Token Jahat Dan Tycoon2FAyang juga menggunakannya untuk menyusupi akun Microsoft 365 dan Entra.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
