Федеральне бюро розслідувань США випустило публічне сповіщення, яке попереджає про нову PhaaS-платформу під назвою Kali365, вперше виявлену в квітні 2026 року. Kali365 розповсюджується переважно через Telegram і дозволяє кіберзлочинцям отримувати токени доступу до Microsoft 365 та обходити багатофакторну автентифікацію без перехоплення паролів користувачів. Через підписку на платформу Kali365 зловмисники можуть захоплювати «OAuth»-токени – цифрові ключі сесій і отримувати постійний доступ до цільових середовищ Microsoft 365. Атака використовує техніку фішинг через код пристрою. Жертва отримує електронний лист, що імітує хмарний або файлообмінний сервіс, з інструкцією відвідати справжню сторінку верифікації Microsoft і ввести код. Оскільки жертва проходить автентифікацію на реальній сторінці входу Microsoft і самостійно завершує всі кроки MFA, вхід виглядає цілком легітимним. Після цього зловмисник захоплює отримані OAuth-токени доступу та оновлення.

Kali365 знижує бар’єр входу: менш технічним атакувальникам надаються доступ до фішингових приманок, згенерованих штучним інтелектом, автоматизовані шаблони кампаній, інформаційні панелі відстеження цілей у реальному часі та можливості захоплення OAuth-токенів. З дійсними токенами доступу та оновлення зловмисник може звертатися до сервісів Microsoft 365 – зокрема Outlook, Teams і OneDrive без пароля і без нових запитів на MFA, оскільки акаунт вже пройшов автентифікацію. Токени оновлення можуть залишатися дійсними тривалий час, забезпечуючи постійний доступ до моменту їх явного відкликання. Повний постексплуатаційний сценарій включає доступ до поштової скриньки, збір контактів, бічний фішинг, моніторинг ключових слів для компрометації ділової електронної пошти та адміністративні дії у разі наявності відповідних привілеїв.