FBI alerta sobre Kali365, plataforma que rouba contas Microsoft 365 sem precisar da senha

Um ataque que dispensa senhas

O FBI emitiu, em 21 de maio de 2026, um alerta público oficial — registrado sob o código I-052126-PSA pelo Internet Crime Complaint Center (IC3) — sobre uma nova plataforma criminosa chamada Kali365. O serviço representa uma mudança significativa na forma como cibercriminosos invadem contas corporativas: em vez de tentar roubar senhas diretamente, a ferramenta engana a própria vítima para que ela, sem perceber, autorize o acesso dos atacantes à sua conta Microsoft 365. A senha jamais precisa ser comprometida — e o mecanismo de dupla autenticação (MFA) também não serve de barreira.

Como o Kali365 funciona

A plataforma abusa de um recurso legítimo da Microsoft chamado "device code authentication flow", parte do protocolo OAuth 2.0. Esse mecanismo foi criado para situações em que um dispositivo — como uma smart TV ou um terminal sem teclado — precisa se autenticar em serviços da nuvem. O fluxo funciona assim: o dispositivo gera um código temporário e solicita ao usuário que o insira em uma página oficial da Microsoft a partir de outro aparelho. O Kali365 se aproveita exatamente desse comportamento.

No ataque, o criminoso inicia o processo de autorização para gerar o código e, em seguida, utiliza técnicas de engenharia social — normalmente um e-mail fraudulento se passando por comunicado oficial da Microsoft — para convencer a vítima a inserir aquele código no portal legítimo de login. Quando o usuário conclui a autenticação, incluindo a etapa de MFA, a Microsoft emite um token de acesso OAuth. O problema é que esse token não vai para a vítima: ele é capturado diretamente pelo atacante, que passa a ter acesso completo à conta — Outlook, Teams, OneDrive e qualquer outro serviço vinculado ao login único da organização.

Um serviço acessível a qualquer criminoso

O que torna o Kali365 especialmente preocupante é o seu modelo de negócio. Distribuído por assinatura via Telegram desde abril de 2026, a plataforma reduz drasticamente a barreira técnica para conduzir ataques sofisticados. Conforme a nota oficial do FBI, o serviço oferece "iscas de phishing geradas por inteligência artificial, modelos de campanha automatizados, painéis de monitoramento em tempo real e capacidades de captura de tokens OAuth". Ou seja, um criminoso sem conhecimento técnico aprofundado pode lançar campanhas direcionadas contra organizações inteiras com poucos cliques.

O que empresas e usuários devem fazer

O FBI recomenda medidas tanto para usuários individuais quanto para equipes de segurança corporativa. No âmbito pessoal, a orientação é clara: nunca inserir um código de autenticação de dispositivo sem ter iniciado o processo intencionalmente. Qualquer solicitação não esperada para digitar esse tipo de código deve ser tratada como tentativa de fraude. No âmbito organizacional, o alerta indica que administradores de TI devem restringir ou bloquear completamente o fluxo de autenticação por código de dispositivo nas políticas de acesso condicional do Microsoft Entra ID, além de auditar os usos existentes desse mecanismo e revogar imediatamente tokens comprometidos em caso de incidente. Incidentes devem ser reportados em www.ic3.gov.

Um vetor em ascensão

O Kali365 é mais um exemplo de como os ataques modernos migram do roubo de credenciais para o roubo de sessões autenticadas — uma tendência que cresce à medida que a adoção do MFA se torna mais ampla. Ao capturar o token em vez da senha, o criminoso herda uma sessão já validada pelo sistema de segurança, tornando a invasão invisível para a maioria das ferramentas de detecção tradicionais. A plataforma foi descoberta e amplamente coberta por veículos especializados como BleepingComputer, The Register e Infosecurity Magazine, além do alerta oficial do IC3, reforçando a seriedade da ameaça.

Fonte: Canaltech com base no comunicado oficial do FBI/IC3 (PSA I-052126-PSA, 21/05/2026).