SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

May 25, 2026

Segu-Info » , , » Advierten sobre el servicio de phishing Kali365 que ataca las cuentas de Microsoft 365

Advierten sobre el servicio de phishing Kali365 que ataca las cuentas de Microsoft 365

May 25, 2026, 10:13:00 AM   Comenta primero!
  , ,  

El FBI advierte sobre Kali365, una plataforma de phishing como servicio (PhaaS) utilizada para secuestrar cuentas de Microsoft 365 mediante el abuso de la autenticación de código de dispositivo OAuth, robando tokens de sesión y eludiendo la autenticación multifactor (MFA).

Según el comunicado del FBI y la empresa ArticWolf, Kali365 surgió en abril de 2026 y se distribuye a través de canales de Telegram para ciberdelincuentes que buscan una forma más sencilla de comprometer cuentas de Microsoft 365 sin robar contraseñas ni interceptar códigos MFA.

La plataforma utiliza el phishing de código de dispositivo, un método cada vez más popular que abusa del flujo legítimo de autorización de dispositivos OAuth 2.0 de Microsoft para obtener acceso a cuentas de Microsoft Entra y Microsoft 365.

Este método de autenticación se creó para permitir que dispositivos con capacidades de entrada limitadas, como televisores inteligentes, sistemas de salas de conferencias, dispositivos de transmisión, impresoras y dispositivos IoT, se autentiquen a través de otro dispositivo mediante un código corto en el portal de inicio de sesión de código de dispositivo de Microsoft: http://microsoft.com/devicelogin.

En febrero, BleepingComputer informó que grupos de extorsionadores, incluido el grupo de ciberdelincuentes ShinyHunters, estaban atacando las cuentas de Microsoft Entra mediante phishing de código de dispositivo y de voz.

A principios de abril de 2026, de forma similar a la campaña generalizada "Riding the Rails", detectada por primera vez a finales de marzo por Huntress, se observó que los ciberdelincuentes abusaban del flujo de códigos de dispositivo OAuth para engañar a las víctimas, obtener códigos de autenticación y conseguir acceso inicial a sus entornos.

En estos ataques, los ciberdelincuentes inician el proceso de autorización del dispositivo para generar un código y luego engañan a las víctimas para que lo ingresen en la página de inicio de sesión de Microsoft mediante phishing e ingeniería social.

Una vez que la víctima introduce el código y completa la autenticación multifactor (MFA), Microsoft emite un token de acceso OAuth que otorga al atacante acceso completo a su cuenta sin necesidad de que resuelva ningún desafío de MFA. Los atacantes ahora tienen acceso completo a todas las aplicaciones a las que el usuario normalmente accede a través de su cuenta de inicio de sesión único, incluyendo Microsoft 365, Salesforce o cualquier otra plataforma SaaS en la nube, que luego utilizan para robar datos.

El FBI advierte que Kali365 proporciona incluso a atacantes con poca experiencia acceso a capacidades avanzadas de phishing, incluyendo señuelos de phishing generados por IA, plantillas de campaña automatizadas, paneles de seguimiento de víctimas en tiempo real y funcionalidad de captura de tokens.

Investigadores de seguridad de Arctic Wolf informaron sobre la actividad de Kali365 en abril tras observar una campaña generalizada dirigida a organizaciones de todo el mundo. Los investigadores indicaron que las campañas se dirigían principalmente a entornos de Microsoft 365 mediante correos electrónicos de phishing que dirigían a las víctimas al portal de inicio de sesión con código de dispositivo de Microsoft, donde, sin saberlo, autorizaban a los atacantes a acceder a sus cuentas.

Los investigadores afirmaron que los ataques resultantes permitieron a los atacantes acceder a los buzones de correo, donde crearon reglas maliciosas para ocultar su actividad. En algunos ataques, los atacantes también registraron nuevos dispositivos en los entornos de Microsoft de las víctimas, ampliando así su acceso a la red comprometida.

Arctic Wolf descubrió que Kali365 opera como una empresa, con administradores que gestionan el desarrollo del producto, revendedores que promocionan el servicio entre otros ciberdelincuentes y afiliados que realizan ataques de phishing.

Los investigadores señalan que la plataforma ofrece dos modos de ataque distintos: el primero es el phishing mediante código de dispositivo y el segundo es un modo de ataque de intermediario (AitM) denominado "Cookie Link".

Cookie Link actúa como proxy para las víctimas a través de una infraestructura controlada por el atacante que captura las sesiones de navegador autenticadas, las cookies de sesión y los tokens después de que las víctimas inicien sesión y resuelvan los desafíos de autenticación multifactor (MFA).

El FBI recomienda a las empresas restringir o bloquear por completo los flujos de autenticación mediante código de dispositivo utilizando políticas de acceso condicional siempre que sea posible, auditar el uso actual del código de dispositivo y bloquear las políticas de transferencia de autenticación que permiten que las sesiones de autenticación se muevan entre dispositivos.

El phishing mediante código de dispositivo se ha generalizado en 2026, y otros ciberdelincuentes y plataformas lo utilizan ahora como parte de sus campañas y ataques de phishing.

Esta adopción incluye a EvilTokens PhaaS y Tycoon2FA, que también lo utilizan para comprometer cuentas de Microsoft 365 y Entra.

Fuente: BC



Suscríbete a nuestro Boletín

0 Comments:

Post a Comment

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!