Campanha de phishing com IA compromete centenas de organizações via Railway

Uma campanha de phishing em larga escala está explorando a infraestrutura da plataforma Railway para comprometer contas Microsoft 365 de empresas e organizações. Segundo a Huntress, a operação já atingiu centenas de vítimas confirmadas e pode representar apenas uma fração do total real de comprometimentos.

O que aconteceu

Os atacantes abusam do fluxo de autenticação para dispositivos da Microsoft — usado por smart TVs, impressoras e terminais — para capturar tokens OAuth válidos por até 90 dias, sem depender de senha ou MFA no momento do uso do token. O diferencial desta campanha está na escala e na personalização das iscas, que variam entre e-mails tradicionais, QR codes e páginas falsas de compartilhamento de arquivos.

Por que esta campanha chama tanta atenção

• Uso provável de IA para gerar lures únicos em massa.
• Baixa repetição de templates, domínios e mensagens, dificultando a detecção por filtros convencionais.
• Comprometimento de empresas de múltiplos setores, incluindo finanças, saúde, governo, manufatura, jurídico e terceiro setor.
• Abuso de infraestrutura em nuvem legítima, o que aumenta a credibilidade aparente da operação.

Impacto prático para defesa

O caso reforça que ataques de phishing estão ficando mais adaptáveis, baratos e escaláveis. Para equipes de segurança, a lição é clara: endurecer controles de acesso condicional, monitorar o uso do device code flow, revisar origens de autenticação anômalas e tratar links e QR codes com o mesmo nível de suspeita que anexos maliciosos.

Leitura estratégica

Mais do que um incidente isolado, esta operação mostra como ferramentas de IA podem ampliar a eficiência de atores relativamente simples, elevando o risco para organizações que ainda dependem excessivamente de filtros tradicionais de e-mail. O uso de infraestrutura legítima e o alto volume de variantes reduzem o custo do atacante e aumentam a pressão sobre times defensivos.

Fonte: CyberScoop