Campanha de phishing com IA compromete centenas de organizações via Railway
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e lures gerados por IA para roubar tokens do Microsoft 365, afetando centenas de organizações e potencialmente milhares de vítimas.
Security system concepts. 3D render
Pesquisadores da Huntress identificaram uma campanha de phishing em escala industrial usando infraestrutura da Railway para comprometer contas do Microsoft 365. O volume e a personalização dos lures indicam automação pesada (provável uso de IA), e o abuso do device code flow permite obter tokens OAuth válidos por longos períodos.
O que aconteceu
- A campanha explora o device code flow da Microsoft (OAuth 2.0), usado por TVs, impressoras e dispositivos sem navegador.
- As iscas variam entre e‑mails tradicionais, QR codes e páginas falsas de compartilhamento.
- A Huntress relatou centenas de organizações vítimas e detalhou 344 alvos em sua análise pública.
Como o ataque funciona (resumo técnico)
- A vítima recebe um link/QR que aponta para uma página controlada pelo atacante.
- Ela é instruída a inserir um código de dispositivo em um endpoint legítimo de login.
- Isso emite tokens OAuth válidos que podem durar até 90 dias, permitindo acesso sem senha ou MFA no momento do uso do token.
Por que essa campanha chama tanta atenção
- Escala + personalização: nenhum e‑mail/domínio era idêntico, sugerindo geração automática de lures.
- Infraestrutura legítima: a Railway (PaaS) foi usada para hospedar páginas e rotas de ataque, dificultando bloqueios por reputação.
- Alvos diversos: construção, jurídico, finanças, saúde, governo, manufatura e terceiro setor.
Indicadores operacionais
- Picos de autenticação com device code flow fora do padrão.
- Consentimentos inesperados para apps ou logins em horários incomuns.
- Uso de tokens long‑lived em dispositivos desconhecidos.
Mitigações práticas
- Restringir ou desabilitar o device code flow quando possível.
- Aplicar políticas de Conditional Access (localização, dispositivo gerenciado, risco).
- Alertar usuários para QR codes e páginas de “compartilhamento” fora do fluxo padrão.
- Monitorar consentimentos e tokens OAuth anômalos.
Resposta do ecossistema
- A Huntress afirmou ter aplicado uma atualização de política de acesso condicional em 60 mil tenants para mitigar o abuso vindo de domínios Railway.
- A Railway foi notificada e iniciou investigação sobre o uso malicioso de sua infraestrutura.
Por que isso importa
O abuso do device code flow mostra como métodos legítimos de autenticação podem virar arma quando combinados com infraestrutura em nuvem e conteúdo gerado por IA. O resultado é um phishing mais barato, mais rápido e difícil de filtrar.
Fontes:
- https://cyberscoop.com/huntress-railway-ai-phishing-campaign-compromised-hundreds-of-organizations/
- https://www.huntress.com/blog/railway-paas-m365-token-replay-campaign
- https://learn.microsoft.com/en-us/entra/identity-platform/v2-oauth2-device-code
