Phishing M365: Kali365 ed EvilTokens bypassano MFA senza password
Due piattaforme PhaaS usano device code phishing e OAuth consent per catturare token M365, bypassando strutturalmente MFA. Il perimetro si è spostato dal login…
Contenuto
L'FBI ha diffuso un warning sulla piattaforma Kali365, attiva da aprile 2026, che permette a attaccanti anche non tecnici di compromettere account Microsoft 365 senza mai toccare una password. Il meccanismo è il device code phishing: la vittima inserisce un codice su una pagina legittima di Microsoft e consegna inconsapevolmente l'accesso a Outlook, Teams e OneDrive. Paralleleamente, la piattaforma EvilTokens ha compromesso oltre 340 organizzazioni in cinque settimane sfruttando l'OAuth consent abuse, dimostrando che il bypass dell'autenticazione a più fattori è diventato un servizio commerciale strutturato.
- Kali365, piattaforma Phishing-as-a-Service identificata dall'FBI nell'aprile 2026, automatizza la cattura di token OAuth attraverso flussi legittimi di autenticazione Microsoft
- EvilTokens ha compromesso oltre 340 organizzazioni M365 in cinque settimane a partire dal febbraio 2026, operando in almeno cinque paesi
- Entrambe le piattaforme bypassano MFA strutturalmente: il token deriva da un flusso legittimo, quindi non genera sign-in anomali rilevabili dai SIEM tradizionali
- I refresh token emessi sopravvivono ai reset delle password e restano validi per settimane o mesi fino a revoca esplicita o intervento sulle policy del tenant
Come Kali365 trasforma l'autenticazione in punto di ingresso
La piattaforma Kali365 è distribuita tramite canali Telegram e abbassa significativamente la soglia di accesso al phishing avanzato. Secondo il warning FBI, riportato da Help Net Security, fornisce "AI-generated phishing lures, automated campaign templates, real-time targeted individual/entity tracking dashboards, and OAuth token capture capabilities". L'attacco inizia con un'email che include un codice numerico e istruzioni per visitare microsoft.com/devicelogin, dominio autentico di Microsoft.
La vittima, convinta di completare una procedura di verifica, inserisce il codice e autorizza il dispositivo dell'attaccante. A quel punto l'attaccante riceve access token e refresh token con scope per servizi M365. Il processo non richiede il furto di credenziali né la compromissione dell'infrastruttura Microsoft. Il rischio operativo nasce dalla natura legittima del flusso: l'utente autentica correttamente, completa MFA se richiesto, e il token emesso è tecnicamente valido.
EvilTokens e il problema del consenso che nessuno legge
La campagna EvilTokens, analizzata da The Hacker News, esemplifica un vettore complementare: l'OAuth consent phishing. La vittima riceve un link, autentica su un dominio Microsoft legittimo, completa l'MFA, e clicca un pulsante "Accept" che autorizza l'applicazione malevola. Il refresh token acquisito permette accesso continuativo a mailbox, drive, calendario e contatti.
Un elemento cruciale emerge dall'analisi tecnica: il linguaggio degli scope OAuth non comunica il rischio effettivo. Frasi come "Read your mail" o "Access files when you're not present" appaiono tecnicamente accurate ma operativamente opache. L'utente medio non associa queste autorizzazioni a una compromissione permanente dell'account. The Hacker News riporta che "rotating the password did not invalidate the grant": solo la revoca esplicita o una conditional access policy che imponga il re-consent ha chiuso l'accesso.
Perché MFA non basta più: il perimetro invisibile dell'OAuth
"The operator never needed a password, never tripped an MFA prompt, and never produced a sign-in event that looked like an intrusion."
Questa citazione dalla campagna EvilTokens definisce il problema strutturale. L'autenticazione a più fattori verifica l'identità dell'utente, non l'intenzionalità del consenso che l'utente concede dopo l'autenticazione. Come osserva The Hacker News: "MFA cannot block it because MFA has already happened". Il token refreshabile si colloca sotto il livello di controllo che la maggior parte delle organizzazioni considera ancora il proprio perimetro.
Le conseguenze sono concrete. Un refresh token valido consente accesso persistente indipendentemente dalle modifiche alle credenziali. I log SIEM tradizionali, configurati per rilevare sign-in anomali, password riutilizzate o accessi da geolocalizzazioni sospette, non segnalano attività sospetta: il token è stato emesso correttamente da Microsoft, dopo autenticazione legittima. L'attaccante opera all'interno di un flusso di autorizzazione che l'architettura cloud considera valido.
Cosa fare adesso
Le contromisure richiedono uno spostamento dal monitoraggio dell'autenticazione al controllo dell'autorizzazione. Quattro azioni prioritarie:
- Audit continuo dei grant OAuth: identificare e revocare applicazioni con scope sospetti su mailbox, OneDrive e calendari; molti tenant conservano consensi attivi da anni senza verifica
- Policy di re-consent forzato: configurare conditional access policy che richiedano ri-autorizzazione periodica delle applicazioni, riducendo la finestra di persistenza dei token rubati
- Inventario delle app con permessi M365: documentare quali applicazioni terze parti e quali scope sono autorizzati; il disallineamento tra inventario e stato effettivo è spesso il primo indicatore di compromissione
- Monitoraggio token-based: integrare nei SOC la correlazione tra emissione token e pattern di utilizzo API anomali, piuttosto che limitarsi agli eventi di sign-in
La formazione utente deve evolvere parallelamente. Non più "non inserire la password su siti sospetti", ma "il codice che ti arriva via email non va inserito mai, nemmeno su microsoft.com". Il passaggio è sottile ma decisivo: il dominio legittimo non garantisce più l'intenzionalità dell'azione.
Il phishing ha spostato il bersaglio sotto i controlli esistenti
Come scrive The Hacker News: "The phishing click that mattered last decade handed over a password. The phishing click that matters now hands over a refresh token, and it sits structurally below the identity controls most organizations still treat as the perimeter". Questa lettura sintetizza lo spostamento di paradigma. Le difese costruite intorno alle credenziali e all'autenticazione multipla risolvono un problema che il phishing commerciale ha già superato.
La disponibilità di piattaforme come Kali365 e EvilTokens indica una maturazione dell'economia criminale: il bypass di MFA non richiede più competenze tecniche avanzate, ma una sottoscrizione. Il dato di 340 organizzazioni in cinque settimane, pur proveniente da singola fonte non triangolata indipendentemente, suggerisce una scalabilità che le difese tradizionali non possono contrastare reattivamente. L'intervallo tra compromissione e rilevazione si allarga quando il vettore è indistinguibile dal traffico legittimo.
Le organizzazioni che non hanno ancora mappato i grant OAuth attivi nei propri tenant operano con un perimetro invisibile già oltrepassato. La questione non è se queste campagne arriveranno, ma se i controlli attuali riusciranno a registrarne la presenza.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.helpnetsecurity.com/2026/05/22/kali365-microsoft-365-phishing-fbi-warning/
- https://thehackernews.com/2026/05/the-new-phishing-click-how-oauth.html
- https://www.bleepingcomputer.com/news/security/inside-a-crypto-drainer-how-to-spot-it-before-it-empties-your-wallet/
- https://thehackernews.com/2026/05/developer-workstations-are-now-part-of.html
- https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/