El FBI ha emitido una advertencia a organizaciones y expertos en ciberseguridad sobre Kali365, una plataforma de phishing-as-a-service que está en rápida expansión y que se especializa en la obtención de tokens de acceso a Microsoft 365. Esta alerta, publicada en un comunicado de servicio público el pasado jueves, subraya la creciente amenaza que representan estos nuevos enfoques de ataque, que pueden tener graves repercusiones para empresas y usuarios individuales.
Kali365 opera un conjunto de herramientas que elude la autenticación multifactorial (MFA) y se aprovecha de las autorizaciones de código de dispositivo de OAuth mediante engaños que imitan servicios empresariales comunes. Este método permite que aplicaciones controladas por ciberdelincuentes accedan a cuentas de Microsoft 365, lo que expone a las víctimas a una variedad de actividades maliciosas, que incluyen robo de datos, fraude, extorsión y ataques de ransomware.
La plataforma Kali365 es uno de los muchos y emergentes recursos de phishing basado en códigos de dispositivo, los cuales están ganando popularidad entre los ciberdelincuentes como una forma más efectiva de eludir controles de seguridad, al mismo tiempo que abusan de las páginas de autorización de dispositivos legítimos de Microsoft. Según los investigadores, esta técnica se aleja de los métodos tradicionales de phishing que roban credenciales y códigos de autenticación de segundo factor, conectando una aplicación maliciosa a una cuenta legítima mediante un único código. Este proceso requiere menos pasos y menos interacción por parte del usuario, aunque las víctimas deben copiar y pegar un código generado por la plataforma Kali365 para otorgar acceso.
Selena Larson, investigadora sénior de amenazas en Proofpoint, comentó que se ha observado una cantidad considerable de actividad de phishing basada en códigos de dispositivo, destacando que muchos de estos ataques son muy similares en su ejecución. "Están utilizando los mismos tipos de engaños, el mismo tipo de contenido y la misma marca", afirmó Larson, lo que sugiere una posible automatización en la creación de estos ataques. De hecho, los investigadores de Proofpoint han identificado siete herramientas de phishing de código de dispositivo que presentaban una apariencia casi idéntica durante un periodo de diez días el mes pasado.
Aunque el phishing de código de dispositivo no es un concepto nuevo, plataformas como Kali365 han integrado técnicas que difieren de los ataques de phishing dirigidos a la MFA, lo que puede hacerlas más efectivas. "Es algo a lo que la gente podría no estar acostumbrada. Es un poco más elegante", agregó Larson. Esta evolución en los métodos de ataque es parte de la razón por la cual estas herramientas están proliferando tan rápidamente; desde febrero, Proofpoint ha observado un aumento explosivo en la actividad de phishing de código de dispositivo.
En abril, Kali365 ya estaba operativa y se distribuía principalmente a través de Telegram, según el FBI. La agencia advirtió que "Kali365 reduce la barrera de entrada, proporcionando a atacantes menos técnicos acceso a engaños de phishing generados por IA, plantillas de campañas automatizadas, paneles de seguimiento en tiempo real de individuos o entidades específicas, y capacidades de captura de tokens de OAuth".
Investigadores de Arctic Wolf Labs, que también han estado siguiendo campañas de gran escala vinculadas a Kali365, informaron que la plataforma cobra a sus afiliados $250 por 30 días de servicio o $2,000 por un año completo. Kali365 almacena los tokens de acceso y actualización de OAuth que captura y los pone a disposición de los afiliados en su plataforma. Estos tokens también pueden ser compartidos y reutilizados por otros ciberdelincuentes que no participaron en el engaño inicial, lo que amplifica aún más la amenaza.
El FBI también subrayó que estos tokens de Microsoft 365 proporcionan acceso persistente, lo que permite a los atacantes navegar a través de múltiples servicios de Microsoft sin necesidad de una contraseña o solicitudes adicionales de MFA. "La identidad puede ser muy, muy poderosa una vez que estás dentro de una organización", señaló Larson, añadiendo que los atacantes pueden abusar de ese acceso para suplantar identidades, acceder y robar datos con fines de extorsión, cometer fraudes e incluso desplegar malware.
Este panorama pone de manifiesto la necesidad urgente de que las organizaciones refuercen sus medidas de seguridad y conciencien a sus empleados sobre los peligros del phishing, especialmente en un momento en que los métodos de ataque están evolucionando a un ritmo alarmante. Las empresas deben implementar políticas de ciberseguridad más robustas, que incluyan formación regular para los empleados y sistemas de monitoreo avanzados para detectar este tipo de actividades maliciosas antes de que causen daños significativos.