FBI warns of Kali365 phishing service targeting Microsoft 365 accounts

1 minute de lecture

Mis à jour : May 25, 2026

Kali365 : La menace croissante du Phishing par code d’appareil

Le FBI a alerté sur l’émergence de Kali365, une plateforme de Phishing-as-a-Service (PhaaS) permettant à des cybercriminels peu qualifiés de pirater des comptes Microsoft 365 et Entra.

Points clés :

Méthode d’attaque : Utilisation détournée du flux d’autorisation OAuth 2.0 (conçu initialement pour les appareils IoT/TV connectées). L’attaquant génère un code d’appareil et incite la victime, via du phishing, à le valider sur le portail légitime de Microsoft.
Contournement MFA : Une fois le code validé par l’utilisateur, Microsoft délivre un jeton d’accès OAuth, offrant aux attaquants un accès total au compte, y compris aux applications SaaS (Salesforce, etc.), sans avoir à intercepter de code MFA.
Double fonctionnalité : Kali365 propose également un mode “Cookie Link” (Adversary-in-the-Middle) pour intercepter les jetons de session et cookies d’authentification après résolution du MFA.
Services offerts : La plateforme fournit des outils automatisés : leurres par IA, tableaux de bord de suivi en temps réel et modèles de campagnes.
Conséquences : Accès aux boîtes mail, création de règles de dissimulation, enregistrement de nouveaux appareils malveillants sur le réseau de la victime.

Vulnérabilités :

Il ne s’agit pas d’une vulnérabilité logicielle classique (CVE), mais d’un abus de conception légitime du flux d’authentification OAuth 2.0 Device Authorization.

Recommandations :

Accès Conditionnel : Restreindre ou bloquer totalement les flux d’authentification par code d’appareil via les politiques d’accès conditionnel de Microsoft Entra.
Audit : Examiner l’usage actuel des codes d’appareil dans l’organisation et bloquer les politiques de transfert d’authentification entre appareils.
Surveillance : Surveiller les inscriptions de nouveaux appareils suspects et la création de règles de messagerie inhabituelles.
Réaction : En cas d’incident, conserver les preuves (e-mails de phishing, logs de connexion) et signaler l’intrusion aux autorités compétentes (type IC3).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

FBI warns of Kali365 phishing service targeting Microsoft 365 accounts

Kali365 : La menace croissante du Phishing par code d’appareil

Partager sur

Vous pourriez aimer

⚡ Weekly Recap: Linux Flaws, Defender 0-Days, Router Botnets, and Supply Chain Chaos

Panorama Hebdomadaire des Menaces : Supply Chain, Exploits et Vulnérabilités

TrapDoor Supply Chain Attack Spreads Credential-Stealing Malware via npm, PyPI, and CratesIO

Campagne TrapDoor : Attaque massive par la chaîne d’approvisionnement logicielle

The Alert Firehose Finally Meets Its Match

Révolutionner le NDR : L’IA agentique face à la saturation des alertes

TeamPCP Supply Chain Campaign: Activity Through 2026-05-24, (Mon, May 25th)

Campagne de supply chain “TeamPCP” : Escalade et compromissions massives