Kali365 PhaaS-Service erweitert Angriffsspektrum: Fokus auf Okta und MAX Messenger

Eine neue und schnell wachsende Phishing-Operation macht in der Cybersicherheitsbranche weit über ihre ursprünglichen Ziele hinaus. Kali365, eine im April 2026 erstmals entdeckte Phishing-as-a-S Eine neue und schnell wachsende Phishing-Operation macht in der Cybersicherheitsbranche weit über ihre ursprünglichen Ziele hinaus.

Kali365, eine im April 2026 erstmals entdeckte Phishing-as-a-Service (PhaaS)-Plattform, wurde ursprünglich entwickelt, um Microsoft 365-Anmelde-Token zu stehlen, indem Benutzer dazu getäuscht werden, gefälschte Geräte-Anmeldeanfragen zu autorisieren.

Heute hat sich die Plattform zu etwas viel Größerem entwickelt und zielt auf Okta Single-Sign-On-Systeme, die russische Messaging-Plattform MAX Messenger sowie dutzende weitere Dienste ab. Die Plattform nutzt einen legitimen Microsoft-Anmeldevorgang namens OAuth 2.0-Geräteautorisierungsablauf aus.

Diese Methode wurde ursprünglich für Geräte wie Smart-TVs und Drucker entwickelt, die keine Standardanmeldungen unterstützen. Kali365 missbraucht dies, indem sie einen echten Microsoft-Anmeldecode generiert, diesen in eine gefälschte Dokumentenfreigabeseite einbettet und darauf wartet, dass das Opfer den Code auf der tatsächlichen Microsoft-Website eingibt.

Sobald dies geschieht, erhält der Angreifer stillschweigend ein funktionierendes Login-Token, ohne jemals das Passwort oder den MFA-Code des Opfers benötigen zu müssen. JavaScript-Polling-Funktion (Quelle – Arctic Wolf). Analysten bei Arctic Wolf haben diese Operation verfolgt und ihren gesamten Umfang kartiert. Laut einem Bericht, den Arctic Wolf mit