9 de maio de 2026

Campanha de phishing com IA compromete centenas de organizações via Railway

24 de março de 2026

Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e lures gerados por IA para roubar tokens do Microsoft 365, afetando centenas de organizações e potencialmente milhares de vítimas.

Security system concepts. 3D render

Pesquisadores da Huntress identificaram uma campanha de phishing em escala industrial usando infraestrutura da Railway para comprometer contas do Microsoft 365. O volume e a personalização dos lures indicam automação pesada (provável uso de IA), e o abuso do device code flow permite obter tokens OAuth válidos por longos períodos.

O que aconteceu

  • A campanha explora o device code flow da Microsoft (OAuth 2.0), usado por TVs, impressoras e dispositivos sem navegador.
  • As iscas variam entre e‑mails tradicionais, QR codes e páginas falsas de compartilhamento.
  • A Huntress relatou centenas de organizações vítimas e detalhou 344 alvos em sua análise pública.

Como o ataque funciona (resumo técnico)

  • A vítima recebe um link/QR que aponta para uma página controlada pelo atacante.
  • Ela é instruída a inserir um código de dispositivo em um endpoint legítimo de login.
  • Isso emite tokens OAuth válidos que podem durar até 90 dias, permitindo acesso sem senha ou MFA no momento do uso do token.

Por que essa campanha chama tanta atenção

  • Escala + personalização: nenhum e‑mail/domínio era idêntico, sugerindo geração automática de lures.
  • Infraestrutura legítima: a Railway (PaaS) foi usada para hospedar páginas e rotas de ataque, dificultando bloqueios por reputação.
  • Alvos diversos: construção, jurídico, finanças, saúde, governo, manufatura e terceiro setor.

Indicadores operacionais

  • Picos de autenticação com device code flow fora do padrão.
  • Consentimentos inesperados para apps ou logins em horários incomuns.
  • Uso de tokens long‑lived em dispositivos desconhecidos.

Mitigações práticas

  • Restringir ou desabilitar o device code flow quando possível.
  • Aplicar políticas de Conditional Access (localização, dispositivo gerenciado, risco).
  • Alertar usuários para QR codes e páginas de “compartilhamento” fora do fluxo padrão.
  • Monitorar consentimentos e tokens OAuth anômalos.

Resposta do ecossistema

  • A Huntress afirmou ter aplicado uma atualização de política de acesso condicional em 60 mil tenants para mitigar o abuso vindo de domínios Railway.
  • A Railway foi notificada e iniciou investigação sobre o uso malicioso de sua infraestrutura.

Por que isso importa

O abuso do device code flow mostra como métodos legítimos de autenticação podem virar arma quando combinados com infraestrutura em nuvem e conteúdo gerado por IA. O resultado é um phishing mais barato, mais rápido e difícil de filtrar.

Fontes:

  • https://cyberscoop.com/huntress-railway-ai-phishing-campaign-compromised-hundreds-of-organizations/
  • https://www.huntress.com/blog/railway-paas-m365-token-replay-campaign
  • https://learn.microsoft.com/en-us/entra/identity-platform/v2-oauth2-device-code

Matérias Relacionadas

Alemanha expõe líder do REvil/GandCrab e reacende debate sobre guerra ao ransomware

7 de abril de 2026

Exploit zero‑day BlueHammer atinge Windows Defender e dá acesso SYSTEM

7 de abril de 2026

NoVoice: malware Android no Google Play infectou 2,3 milhões e vira rootkit persistente

5 de abril de 2026

Veja mais..

Qualys alerta: avalanche de CVEs e janela de exploração negativa entram na era Mythos

13 de abril de 2026

NoVoice no Google Play: malware com rootkit infectou 2,3 milhões e mira Androids desatualizados

9 de abril de 2026

Criminosos dizem ter hackeado a cidade de Meriden (EUA) e roubado dados

8 de abril de 2026

Alemanha expõe líder do REvil/GandCrab e reacende debate sobre guerra ao ransomware

7 de abril de 2026

Exploit zero‑day BlueHammer atinge Windows Defender e dá acesso SYSTEM

7 de abril de 2026
Social Media Auto Publish Powered By : XYZScripts.com