Der Angriffsweg setzt nicht auf den Diebstahl von Zugangsdaten, sondern auf die legitimen Anmeldemechanismen von Microsoft. Die Täter versenden Phishing-Mails, die sich als vertrauenswürdige Cloud- und Dokumentendienste ausgeben und einen Code sowie die Anweisung enthalten, eine echte Microsoft-Verifizierungsseite aufzurufen. Gibt das Opfer dort den Code ein, autorisiert es unwissentlich das Gerät des Angreifers für den Zugriff auf sein Konto.
Die Vorfallhelfer von Arctic Wolf berichteten von einer großen Angriffskampagne über Kali365 im April. Statt Anmeldedaten zu stehlen, lösten die Kriminellen schlicht Geräte-Anmeldeanfragen aus und brachten ihre Opfer dazu, die Autorisierung in ihrem Namen abzuschließen. Laut Arctic Wolf führten die erbeuteten OAuth-Zugriffs- und Aktualisierungstoken zu sofortigem Postfachzugriff. In einzelnen Fällen richteten die Täter schädliche Postfachregeln ein, um Sicherheitsbenachrichtigungen zu unterdrücken und so länger unentdeckt zu bleiben.
Arctic Wolf verschaffte sich Einblick in das Kali365-System und stellte fest, dass es in drei Stufen angeboten wird – die Preise reichen von 250 US-Dollar für 30 Tage bis zu 2.000 US-Dollar für 365 Tage. Die Plattform erlaubt es, markenbezogene Köder unter Verwendung bekannter Dienste wie Adobe, DocuSign und SharePoint zu erstellen, und bietet diese in Dutzenden Sprachen, Layouts und Designvarianten an. Sie erzeugt HTML-Phishing-Seiten und die zugehörigen Mails; sogar eine herunterladbare Desktop-Version steht bereit.
Einmal erbeutet, werden die Tokens von Kali365 gespeichert und lassen sich mit anderen teilen und wiederverwenden. Sie ermöglichen laut Arctic Wolf einen vollständigen Folgeangriff: Postfachzugriff, das Sammeln von Kontakten, seitliches Phishing, die Überwachung nach Schlüsselwörtern für Betrugsmaschen im Geschäfts-E-Mail-Verkehr (Business E-Mail Compromise) sowie administrative Aktionen, sofern das erbeutete Token zu einem ausreichend privilegierten Konto gehört.
Die Sicherheitsfirmen Proofpoint, IBM und Huntress wiesen in eigenen Berichten darauf hin, dass es mehrere Dienste mit ähnlichen Fähigkeiten wie Kali365 gibt. Fachleute werten den Dienst als weiteres Beispiel dafür, wie sich das cyberkriminelle Umfeld professionalisiert und auf weniger versierte Akteure ausweitet. Erst kürzlich störte Microsoft ein weiteres „as-a-Service“-Werkzeug, das legitime Dienste zur Verbreitung von Schadsoftware missbrauchte.
