Kali365 napad širi domete - od Microsoft 365 na Oktu i MAX Messenger
Kali365 fišing platforma se širi sa Microsoft 365 na Oktu, MAX Messenger i desetine drugih servisa kroz zloupotrebu OAuth 2.0 procesa.
Šta se desilo?
Brzo rastući sajber napad poznat kao Kali365 prelazi granice svojih originalnih ciljeva. Ova platforma za fišing kao uslugu (PhaaS), prvi put zapažena aprila 2026. godine, bila je prvobitno namenjena krađi pristupnih tokena za Microsoft 365. Sada se proširila i ciljava sisteme za jedinstvenu prijavu kao što je Okta, rusku aplikaciju MAX Messenger i desedine drugih usluga - sve через zloupotrebu legitimnog Microsoft OAuth 2.0 procesa.
Koga pogađa?
Rizik pogađa sve organizacije i korisnike koji se oslanjaju na Microsoft 365, Oktu, Xerox DocuShare, AWS servise, kao i ruske platforme poput Mail.ru, Yandex Disk i Odnoklassniki. Posebno su ugroženi korisnici MAX Messenger-a i bilo ko ko koristi OAuth tokene za pristup korporativnim resursima, bez obzira na aktivirane dodatne faktore autentifikacije.
Kako se zaštititi?
- Budi oprezan pri odobravanju zahteva za prijavu na novim ili nepoznatim uređajima - uvek provjeri legitimnost u direktnoj komunikaciji sa IT oddeljenjem
- Koristi hardverske sigurnosne ključeve umesto SMS-a ili aplikacijskih MFA rešenja gde je moguće
- Edukuj zaposlene o OAuth fišing kampanjama i kako prepoznati sumnjivih zahteve za autentifikaciju
- Prati i blokira pristup iz sumnjivijih geografskih lokacija ili IP adresa
- Aktiviraj napredne zaštite protiv fišinga koje detektuju lažne OAuth stranice
- Redovno proveravaj liste sertifikata i delegovanih pristupa u OAuth postavkama
Tehnički detalji
Kali365 zloupotrebljava Microsoft OAuth 2.0 device authorization flow - legitimnu funkciju dizajniranu za uređaje koji ne mogu da podrže standardnu prijavu poput pametnih televizora. Platforma generiše pravi Microsoft kod prijave, ubacuje ga u lažnu stranicu za deljenje dokumenata i čeka žrtvu da ga unese na zvaničnom Microsoft sajtu. Čim se to desi, napadač tiho dobija радни token za prijavu bez pristupa lozinci ili MFA kodu žrtve. Istraživači sa Arctic Wolf mapirali su 126 zlonamenih domaćinstava, sva sa istim kompletom alata, koja se pretvaraju da su različiti servisi.
Preporuka Sajber Radara
Ovaj napad demonstrira koliko su moćni servisi za fišing kao usluga kada budu dostupni na crnom tržištu za samo 250 dolara mesečno. Organizacije moraju hitno preći na hardverske sigurnosne ključeve i implementirati detaljnije praćenje OAuth aktivnosti u svim sistemima.
