El FBI ha alertado de Kali365, una nueva amenaza de ‘phishing’ diseñada para engañar a los usuarios de Microsoft 365 y secuestrar sus cuentas sin necesidad de acceder a las credenciales, con el robo de los tokens de inicio de sesión.
El FBI ha alertado de Kali365, una nueva amenaza de ‘phishing’ diseñada para engañar a los usuarios de Microsoft 365 y secuestrar sus cuentas sin necesidad de acceder a las credenciales, con el robo de los tokens de inicio de sesión.
Kali365 es un descubrimiento reciente en el mundo de la ciberseguridad, que se identificó en abril y se promociona como una plataforma de ‘phising’ como servicio para secuestrar las cuentas de los usuarios de Microsoft 365.
MIRA: La empresa peruana que adaptará robots usados en minería para explorar la Luna
Esta amenaza tiene la capacidad de robar los tokens de inicio de sesión y de eludir la autenticación multifactor sin interceptar las credenciales de acceso a la cuenta de los usuarios ni los códigos MFA.
Para ello, permite abusar del sistema Oauth y acceder al token que hace que la sesión se mantenga abierta, en lugar de tener que introducir de nuevo las credenciales. De esta forma, los ciberatacantes obtienen acceso persistente a los entornos de de Microsoft 365 de sus víctimas.
Como ha alertado el FBI en un comunicado, Kali365 engaña a sus víctimas con un correo electrónico con el que suplanta los servicios de productividad y de uso compartido de documento en la nube, que les insta a verificar un código de dispositivo en la página legítima de Microsoft.
Con esta acción, las víctimas lo que hacen en realidad es autorizar al atacante a acceder a su cuenta con el dispositivo que se ha verificado, suplantando así su idendidad. También permite robar los tokens de acceso y de actualización de Oauth.
La gravedad de Kali365 radica en que “reduce las barreras de entrada, proporcionando a los atacantes con menos conocimientos técnicos acceso a señuelos de phishing generados por IA, plantillas de campañas automatizadas, paneles de seguimiento en tiempo real de personas o entidades objetivo y capacidades de captura de tokens Oauth”, como han expuesto desde el FBI.
