De FBI waarschuwt voor het phishing-as-a-service platform Kali365, dat gebruikt wordt om Microsoft 365-accounts over te nemen door misbruik te maken van OAuth-apparaatcode-authenticatie. Hiermee worden sessietokens gestolen en wordt multi-factor authenticatie (MFA) omzeild.

Volgens de FBI dook Kali365 voor het eerst op in april 2026 en wordt het verspreid via Telegram-kanalen voor cybercriminelen die op zoek zijn naar een gemakkelijke manier om Microsoft 365-accounts te hacken zonder wachtwoorden of MFA-codes te onderscheppen.

Het platform gebruikt apparaatcode-phishing, een steeds populairdere methode die misbruik maakt van Microsoft’s legitieme OAuth 2.0 Device Authorization om toegang te krijgen tot Microsoft Entra en Microsoft 365-accounts.

Deze authenticatiemethode is ontworpen voor apparaten met beperkte invoermogelijkheden, zoals smart-tv’s, conferentiesystemen en IoT-apparaten, zodat ze kunnen verifiëren via een andere apparaat door een korte code in te voeren op Microsoft’s apparaatcodeloginportal.

In februari meldde BleepingComputer dat afpersgroepen, waaronder de ShinyHunters, Microsoft Entra-accounts probeerden te hacken via apparaatcodes en voice-phishing.

Bij deze aanvallen initiëren de aanvallers zelf het autorisatieproces om een code te genereren, waarna ze slachtoffers misleiden om de code in te voeren op Microsoft’s inlogpagina via phishing en social engineering.

Wanneer het slachtoffer de code invoert en MFA voltooit, verstrekt Microsoft een OAuth-toegangstoken dat de aanvaller volledige toegang verleent tot hun account zonder dat ze enige MFA-uitdagingen hoeven op te lossen.

De aanvallers verkrijgen hiermee volledige toegang tot alle applicaties waartoe de gebruiker normaal gesproken toegang heeft via hun single-sign-on account, waaronder Microsoft 365, Salesforce, of andere cloud SaaS-platforms, die vervolgens gebruikt worden om gegevens te stelen.

De FBI waarschuwt dat Kali365 zelfs aanvallers met weinig vaardigheden toegang biedt tot geavanceerde phishingmogelijkheden, inclusief door AI gegenereerde phishinglokkers, geautomatiseerde campagnetemplates, real-time dashboards voor slachtoffertracking en token-capturing functionaliteit.

Arctic Wolf, een beveiligingsonderzoeksgroep, rapporteerde in april over Kali365 na het observeren van een grootschalige campagne die wereldwijd organisaties aanviel.

De onderzoekers verklaarden dat deze campagnes vooral gericht waren op Microsoft 365-omgevingen, met phishing-e-mails die slachtoffers naar Microsoft’s apparaatcodeloginportal leidden, waar ze onbewust aanvallers autoriseerden om hun accounts te benaderen.

De resulterende aanvallen gaven hackers toegang tot hun mailboxen, waar ze kwaadwillende inboxregels creëerden om hun activiteiten te verbergen.

In sommige aanvallen registreerden aanvallers ook nieuwe apparaten in de Microsoft-omgevingen van de slachtoffers, wat hun toegang tot het gehackte netwerk verder versterkte.

Arctic Wolf ontdekte dat Kali365 als bedrijf opereert, met beheerders die productontwikkeling beheren, wederverkopers die de dienst promoten bij andere cybercriminelen en filialen die phishingaanvallen uitvoeren.

De onderzoekers vermelden dat het platform twee verschillende aanvalsmethoden biedt, met als eerste apparaatcode-phishing en als tweede een adversary-in-the-middle mode, genaamd “Cookie Link”.

Cookie Link leidt slachtoffers via door aanvallers gecontroleerde infrastructuur die geauthenticeerde browsersessies, sessie-cookies en tokens vastlegt nadat doelen zijn ingelogd en MFA-uitdagingen oplost.

De FBI raadt bedrijven aan apparaatcode-authenticatiestromen waar mogelijk te beperken of volledig te blokkeren, bestaande apparaatcode-gebruik te controleren en authenticatietransferbeleid die toestaat dat authenticatiesessies tussen apparaten verplaatst worden, te blokkeren.

De instantie dringt er ook bij getroffen organisaties op aan incidenten te melden bij het Internet Crime Complaint Center en phishing-e-mails, verdachte logininformatie en ongeautoriseerde apparaatrekeningen te bewaren.

Apparaatcode-phishing heeft in 2026 wijdverspreide adoptie gezien, met andere dreigingsactoren en platforms die het nu gebruiken als onderdeel van hun phishingcampagnes en aanvallen.

Deze adoptie omvat de EvilTokens PhaaS en Tycoon2FA, die het ook gebruiken om Microsoft 365- en Entra-accounts te compromitteren.