A plataforma de phishing como serviço Kali365, já sinalizada pelo FBI, ampliou seus alvos além do Microsoft 365 e agora ataca AWS, Okta e serviços russos como Mail.ru e MAX Messenger. A campanha utiliza device code phishing para roubar tokens OAuth e bypassar autenticação multifator, com 126 servidores de comando e controle identificados em maio de 2026.
Como funciona o device code phishing
O ataque abusa do fluxo OAuth 2.0 de autorização de dispositivo, projetado originalmente para smart TVs e impressoras. O invasor gera uma solicitação legítima e engana a vítima — por exemplo, com um alerta falso de segurança — para que insira um código numa página de login real. Quando a vítima completa o passo de MFA, o serviço emite tokens de acesso diretamente para a sessão do atacante, sem que as credenciais da vítima sejam interceptadas em nenhum momento.
O FBI alertou em comunicado público que a plataforma oferece lures gerados por IA, templates de campanha automatizados e dashboards de rastreamento em tempo real, reduzindo drasticamente a barreira técnica para que criminosos sem conhecimento avançado lancem ataques sofisticados.
Novas plataformas sob ataque
Pesquisadores da Arctic Wolf identificaram uma infraestrutura de 126 hosts maliciosos ativos entre o início e o final de maio. A expansão de alvos inclui plataformas ocidentais como Amazon Web Services, Okta SSO e Xerox DocuShare, além de serviços russos como Mail.ru, Yandex Disk, Odnoklassniki e o mensageiro MAX, patrocinado pelo Estado russo com mais de 80 milhões de usuários.
A Arctic Wolf destacou que a conquista de contas MAX representa um risco especial: “Um operador de phishing que converter sequestros de contas MAX em propagação terá acesso a uma das maiores bases de mensageria do mundo de língua russa.”
| Plataforma alvo | Tipo | Método |
|---|---|---|
| Microsoft 365 | Produtividade corporativa | Device code phishing |
| AWS | Cloud computing | Device code phishing |
| Okta SSO | Identidade corporativa | Device code phishing |
| MAX Messenger | Mensageria (Rússia) | Device code phishing |
| Mail.ru / Yandex | Serviços digitais (Rússia) | Device code phishing |
Crescimento do mercado de PhaaS
A técnica de device code phishing tem crescido de forma alarmante em 2026, com a Push Security identificando pelo menos 14 kits dedicados a esse método em circulação, incluindo Tycoon2FA, Venom e CYB3R. O modelo de PhaaS permite que operadores com pouca habilidade técnica lancem campanhas em escala, com distribuição via Telegram e infraestrutura de C2 automatizada. Cada kit compete por clientes oferecendo mais plataformas suportadas, melhor evasão de detecção e suporte técnico dedicado.
Estratégias de proteção
Equipes de segurança devem treinar usuários para reconhecer solicitações de código de dispositivo não solicitadas. Avalie o risco de concessões de autorização de código de dispositivo em todos os aplicativos, especialmente para usuários com acesso privilegiado. Ativar MFA por si só não basta mais — é preciso restringir os fluxos de device code onde possível e monitorar concessões de token OAuth anormais.
Organizações que utilizam Microsoft Entra ID podem desativar o fluxo de código de dispositivo via políticas de acesso condicional, bloqueando o vetor principal do Kali365. Administradores do AWS IAM devem revisar políticas de trust que permitam device code flows e considerar restrições por IP ou condição de rede.