Kali365 PhaaS

Editors' Pick

Az Arctic Wolf kutatása szerint a Kali365 az egyik leggyorsabban fejlődő adathalászat-szolgáltatásként működő (PhaaS) platformmá vált. A rendszer eredetileg Microsoft 365 hitelesítő adatok megszerzésére készült, azonban 2026 tavaszára több nagyvállalati és felhőszolgáltató környezetet is célba vett, köztük az AWS, Okta, Microsoft Live, Microsoft Outlook, Xerox, valamint több orosz és kelet-európai online szolgáltatást.

A Kali365 egyik legfontosabb jellemzője az Adversary-in-the-Middle – AiTM technológia alkalmazása. A támadó a felhasználó és a legitim szolgáltatás közé ékelődik, így valós időben képes megszerezni nemcsak a felhasználónevet és jelszót, hanem a többtényezős hitelesítés (MFA) során létrejövő munkamenet-sütiket is. Ennek eredményeként az MFA önmagában nem nyújt védelmet a kompromittálás ellen.

A kutatók szerint a Kali365 infrastruktúrája rendkívül kiforrott. A támadók automatikusan generálnak hitelesnek tűnő bejelentkezési oldalakat, támogatják a Microsoft Entra ID, Okta és AWS hitelesítési folyamatainak lemásolását, valamint valós idejű munkamenet-eltérítést hajtanak végre. Az ellopott sütik és hitelesítő adatok közvetlenül a kezelőfelületre kerülnek, ahol az operátor azonnal átveheti az áldozat fiókját.

Az Arctic Wolf külön kiemeli, hogy a Kali365 már nem kizárólag nyugati célpontokra fókuszál. Új sablonokat azonosítottak a MAX Messenger, a Yandex Disk, a Mail.ru és a GMX szolgáltatásokhoz is. Ez arra utal, hogy az üzemeltetők új piacok és új bűnözői ügyfélkörök felé nyitnak.

A támadók már nem egyszerű hamis bejelentkezési oldalakat üzemeltetnek, hanem komplett szolgáltatást kínálnak előfizetéses modellben, amely lehetővé teszi kevésbé képzett bűnözők számára is a többtényezős hitelesítést megkerülő fiókeltérítési műveletek végrehajtását. A kutatók ezért a hagyományos MFA mellett FIDO2/WebAuthn-alapú adathalászatnak ellenálló hitelesítési megoldások bevezetését javasolják, mivel ezek jelentősen csökkentik az AiTM támadások sikerességét.

FORRÁS