Kali365 : un service de phishing propose l'accès aux comptes Microsoft 365 pour 250 dollars par mois

Une nouvelle menace pèse sur les environnements de travail connectés à Microsoft 365. Un service baptisé Kali365, commercialisé sur Telegram pour 250 dollars par mois, permet à des cybercriminels de lancer des campagnes de hameçonnage sophistiquées.

Un outil clé en main pour les pirates

Depuis avril, cette plateforme est utilisée pour compromettre des comptes professionnels, en contournant l'authentification multifacteur. Les pirates n'ont pas besoin de voler le mot de passe : l'outil leur offre un accès direct aux boîtes de réception et aux fichiers stockés.

Selon des informations partagées par des autorités américaines, l'outil cible en priorité les profils liés à la paie et à la comptabilité au sein des entreprises européennes. Des centaines de comptes sont compromis chaque jour.

Un mode opératoire redoutable

L'acheteur du service reçoit une solution prête à l'emploi pour lancer des attaques de phishing. L'outil génère des pages de connexion factices imitant l'interface de Microsoft 365. Lorsque la victime saisit ses identifiants, le pirate récupère immédiatement l'accès à la session, sans avoir à intercepter le code de la double authentification.

Ce type d'attaque, appelé "adversary-in-the-middle" (AitM), permet d'intercepter les tokens de session et de les réutiliser pour se connecter au service légitime. La victime ne voit rien d'anormal, car la page frauduleuse affiche une erreur ou une redirection après la saisie.

Des conséquences pour les entreprises

Les comptes compromis peuvent être utilisés pour dérober des données sensibles, lancer des attaques de ransomware ou envoyer des courriels frauduleux aux contacts de la victime. Les services financiers et les ressources humaines sont particulièrement exposés.

Les experts en cybersécurité recommandent aux organisations de renforcer leurs politiques d'authentification en utilisant des clés de sécurité physiques ou des applications d'authentification, et de former les employés à reconnaître les tentatives de phishing.

L'évolution des menaces

Kali365 s'inscrit dans une tendance plus large de la cybercriminalité : la vente de services de phishing en tant que service (PhaaS). Ces plateformes abaissent la barrière technique à l'entrée pour les pirates, leur permettant de lancer des attaques sophistiquées sans compétences techniques avancées.

Les autorités recommandent aux entreprises de surveiller les connexions suspectes à leurs comptes Microsoft 365 et d'activer les alertes de sécurité. Les administrateurs doivent également vérifier les règles de boîte aux lettres qui pourraient être ajoutées à l'insu des utilisateurs.