Платформа Kali365 использует ИИ и OAuth‑механизм Microsoft для фишинга аккаунтов

Kali365, платформа формата phishing‑as‑a‑service, также известная как Octopi365 и Freedom365, нацеленная на аккаунты Microsoft. По данным компании Huntress, сервис впервые заметили в мае 2026 года во время расследования серии входов в Microsoft 365, которые происходили из Китая. ФБР выпустило публичное предупреждение с описанием этой схемы. Суть атаки в злоупотреблении текущей реализацией OAuth device code flow для аккаунтов Microsoft: пользователей пытаются убедить самостоятельно войти в свои учетные записи, после чего доступ фактически передается злоумышленникам.
По оценкам, ежедневно рассылается около 3.4 млрд вредоносных писем, это 1.2% всего почтового трафика. Google блокирует примерно 100 млн фишинговых писем в день. На этом фоне Kali365 выделяется масштабом и набором инструментов. В сервисе есть как минимум 33 встроенных шаблона, имитирующих продукты и сервисы Microsoft, а также 100 API‑эндпоинтов и ролевая система доступа для фишинговых команд. Платформа включает пайплайн выплат, интеграцию криптоплатежного шлюза, уровни доступа к набору программного обеспечения и отдельное настольное приложение для операторов.
При этом Kali365 и связанные варианты, включая Octopi365 и Freedom365, не взламывают MFA и не обходят его напрямую, схема строится иначе. Используются правдоподобные письма и призывы к действию, после чего похищаются session cookies и OAuth‑токены, дающие доступ к аккаунту. Жертва попадает на сайт Microsoft с SSL‑сертификатом и не видит предупреждений, а злоумышленник затем использует аутентифицированный токен. По данным ФБР, приманки часто маскируются под «trusted cloud productivity and document-sharing services». В операции также задействуется модель Claude от Anthropic: она анализирует перехваченные цепочки писем, оценивает их потенциал для мошенничества и формирует ответы с вымышленными банковскими реквизитами и срочными требованиями, отправляя их из почтового ящика жертвы. В предупреждении отмечается, что устранение проблемы потребует изменений со стороны Microsoft, чтобы закрыть уязвимости, позволяющие передавать аутентификацию.
Ключевые факты
Платформа Kali365 (также известная как Octopi365 и Freedom365) нацелена на учетные записи Microsoft и была впервые обнаружена компанией Huntress в мае 2026 года при анализе серии входов в Microsoft 365 из Китая.
Инструмент включает не менее 33 встроенных шаблонов, имитирующих продукты и сервисы Microsoft, около 100 API‑эндпоинтов и систему ролевого доступа для команд, проводящих фишинговые кампании.
Kali365 не взламывает MFA напрямую: жертву побуждают пройти легитимный вход, после чего злоумышленники крадут session cookies и OAuth‑токены и получают доступ к аккаунту.
В схеме используется модель Claude от Anthropic: она анализирует перехваченные цепочки писем, оценивает вероятность мошенничества и генерирует ответы с поддельными банковскими реквизитами и срочными просьбами, отправляя их из почтового ящика жертвы.