Thought Leadership
Das FBI warnt vor der Phishing-Plattform Kali365. Cyberkriminelle nutzen legitime Microsoft-Protokolle, um Konten ohne Passwörter zu übernehmen.
Die US-Bundespolizei FBI warnt in einer aktuellen Sicherheitsmeldung vor einer neuen Phishing-as-a-Service-Plattform namens Kali365. Diese Plattform wird von cyberkriminellen Akteuren gezielt eingesetzt, um Microsoft 365-Konten zu kompromittieren und weitreichende Netzwerkzugriffe zu erlangen. Laut den Erkenntnissen der Ermittler tauchte Kali365 erstmals im April 2026 auf und wird primär über spezialisierte Telegram-Kanäle in der Untergrundszene vertrieben.
Das Angebot richtet sich an Angreifer, die nach einer technischen Methode suchen, um Cloud-Konten zu übernehmen, ohne Passwörter stehlen oder herkömmliche Multifaktor-Authentifizierungen mühsam abfangen zu müssen. Die Plattform automatisiert den gesamten Prozess und stellt den Abonnenten vorbereitete Angriffswerkzeuge zur Verfügung. Die Sicherheitsforscher des IT-Infrastrukturunternehmens Arctic Wolf bestätigten eine weitreichende Kampagne, die sich im Frühjahr 2026 global gegen Organisationen und Unternehmen richtet.
Missbrauch des OAuth-Gerätecodes
Der primäre Angriffsvektor von Kali365 basiert auf dem Missbrauch eines legitimen Protokolls von Microsoft, dem sogenannten OAuth 2.0 Device Authorization Grant Flow. Dieses Authentifizierungsverfahren wurde ursprünglich entwickelt, um Geräten mit eingeschränkten Eingabemöglichkeiten den Zugriff auf Microsoft-Dienste zu ermöglichen. Typische Anwendungsbereiche sind Smart-TVs, Konferenzraumsysteme, Streaming-Geräte, Drucker oder IoT-Endpunkte. Bei diesem regulären Ablauf generiert das eingezäunte Gerät einen kurzen Code, den der Benutzer über ein zweites Gerät auf einer offiziellen Microsoft-Anmeldeseite eingibt, um die Verknüpfung mit dem Benutzerkonto zu bestätigen.
Die Entwickler von Kali365 haben diesen Prozess für betrügerische Zwecke umfunktioniert. Die Angreifer stoßen den Autorisierungsprozess selbstständig an, um einen gültigen Code zu erzeugen. Mittels Social Engineering und Phishing-E-Mails verleiten sie die Zielpersonen dazu, diesen Code auf der echten Microsoft-Anmeldeseite einzugeben. Sobald das Opfer den Code eingibt und die eigene Multifaktor-Authentifizierung erfolgreich abschließt, stellt Microsoft ein gültiges OAuth-Zugriffstoken aus. Da dieses Token direkt an die Infrastruktur der Angreifer übermittelt wird, erhalten diese vollständigen Zugriff auf das Benutzerkonto, ohne jemals das Passwort oder den zweiten Faktor des Opfers abfangen zu müssen.
Weitreichende operative Folgen einer Kontenkompromittierung
Nachdem die Kriminellen das Zugriffstoken erhalten haben, können sie sich über das Single-Sign-On-Verfahren des Opfers in allen verknüpften Unternehmensanwendungen anmelden. Neben den klassischen Microsoft 365-Diensten betrifft dies auch externe SaaS-Plattformen wie Salesforce oder andere angebundene Cloud-Dienste. Die Angreifer nutzen diesen Zugriff primär für den systematischen Diebstahl sensibler Unternehmensdaten. Analysen von IT-Sicherheitsdiensten zeigen, dass die Täter nach dem Eindringen in die Postfächer sofort schadhafte Posteingangsregeln erstellen. Diese Regeln dienen dazu, Benachrichtigungen über unbefugte Zugriffe oder ausgehende E-Mails vor dem legitimen Kontoinhaber zu verbergen und so die Verweildauer im Netzwerk zu maximieren. In manchen dokumentierten Angriffsszenarien registrieren die Angreifer zudem neue, eigene Endgeräte in der Microsoft-Entra-Umgebung des betroffenen Unternehmens, um einen dauerhaften und vom ursprünglichen Benutzerkonto unabhängigen Zugang zu etablieren.
Hackerplattform wirkt wie eine geschäftliche Struktur
Die Plattform Kali365 wird wie ein reguläres Software-Unternehmen betrieben. Die Struktur umfasst Administratoren, die für die technische Weiterentwicklung des Schadcodes zuständig sind, Wiederverkäufer für das Marketing in der Kriminellenszene sowie Affiliates, welche die eigentlichen Phishing-Kampagnen durchführen. Um den Angreifern maximale Flexibilität zu bieten, verfügt Kali365 über zwei unterschiedliche Angriffsmodi. Neben dem beschriebenen Gerätecode-Phishing integriert die Plattform einen Adversary-in-the-Middle-Modus namens Cookie Link.
In diesem Modus leiten die Angreifer den gesamten Datenverkehr des Opfers über eine eigene Proxy-Infrastruktur um. Wenn sich der Benutzer anmeldet und die Multifaktor-Authentifizierung durchführt, fängt das System die authentifizierten Browser-Sitzungen, Session-Cookies und Token im Klartext ab. Die Plattform bietet zudem KI-generierte Phishing-Mails, automatisierte Kampagnenvorlagen und Echtzeit-Dashboards zur Verfolgung der Opfer, was die technische Hürde für minder qualifizierte Täter massiv senkt und die Skalierbarkeit der Angriffe erhöht. Extortion-Gangs wie ShinyHunters nutzen diese kombinierten Verfahren verstärkt für Erpressungsversuche.
Empfehlungen der Behörden zur Absicherung der Cloud-Infrastruktur
Die weitreichende Verbreitung von Gerätecode-Phishing im Jahr 2026, die sich auch in konkurrierenden Plattformen wie EvilTokens oder Tycoon2FA zeigt, zwingt Unternehmen zu proaktiven Gegenmaßnahmen. Das FBI empfiehlt IT-Abteilungen dringend, die Nutzung von Gerätecode-Authentifizierungen mithilfe von Richtlinien für den bedingten Zugriff, den Conditional Access Policies, stark einzuschränken oder vollständig zu blockieren. Bestehende Protokolle sollten systematisch auf unübliche Gerätecode-Verwendungen überprüft werden.
Zudem sollten Richtlinien implementiert werden, die den Transfer von Authentifizierungssitzungen zwischen verschiedenen Endgeräten unterbinden. Betroffene Organisationen werden aufgefordert, Vorfälle an die zuständigen Behörden zu melden und Beweismittel wie Phishing-E-Mails, verdächtige Anmeldedaten und nicht autorisierte Geräteregistrierungen für die forensische Untersuchung zu sichern.
