Campanha de phishing com IA compromete centenas de organizações via Railway

Pesquisadores da Huntress identificaram uma campanha de phishing em escala industrial usando infraestrutura da Railway para comprometer contas do Microsoft 365. O volume e a personalização dos lures indicam automação pesada (provável uso de IA), e o abuso do device code flow permite obter tokens OAuth válidos por longos períodos.

O que aconteceu

• A campanha explora o device code flow da Microsoft (OAuth 2.0), usado por TVs, impressoras e dispositivos sem navegador.
• As iscas variam entre e‑mails tradicionais, QR codes e páginas falsas de compartilhamento.
• A Huntress relatou centenas de organizações vítimas e detalhou 344 alvos em sua análise pública.

Como o ataque funciona (resumo técnico)

• A vítima recebe um link/QR que aponta para uma página controlada pelo atacante.
• Ela é instruída a inserir um código de dispositivo em um endpoint legítimo de login.
• Isso emite tokens OAuth válidos que podem durar até 90 dias, permitindo acesso sem senha ou MFA no momento do uso do token.

Por que essa campanha chama tanta atenção

• Escala + personalização: nenhum e‑mail/domínio era idêntico, sugerindo geração automática de lures.
• Infraestrutura legítima: a Railway (PaaS) foi usada para hospedar páginas e rotas de ataque, dificultando bloqueios por reputação.
• Alvos diversos: construção, jurídico, finanças, saúde, governo, manufatura e terceiro setor.

Indicadores operacionais

• Picos de autenticação com device code flow fora do padrão.
• Consentimentos inesperados para apps ou logins em horários incomuns.
• Uso de tokens long‑lived em dispositivos desconhecidos.

Mitigações práticas

• Restringir ou desabilitar o device code flow quando possível.
• Aplicar políticas de Conditional Access (localização, dispositivo gerenciado, risco).
• Alertar usuários para QR codes e páginas de “compartilhamento” fora do fluxo padrão.
• Monitorar consentimentos e tokens OAuth anômalos.

Resposta do ecossistema

• A Huntress afirmou ter aplicado uma atualização de política de acesso condicional em 60 mil tenants para mitigar o abuso vindo de domínios Railway.
• A Railway foi notificada e iniciou investigação sobre o uso malicioso de sua infraestrutura.

Por que isso importa

O abuso do device code flow mostra como métodos legítimos de autenticação podem virar arma quando combinados com infraestrutura em nuvem e conteúdo gerado por IA. O resultado é um phishing mais barato, mais rápido e difícil de filtrar.

Fontes:

• https://cyberscoop.com/huntress-railway-ai-phishing-campaign-compromised-hundreds-of-organizations/
• https://www.huntress.com/blog/railway-paas-m365-token-replay-campaign
• https://learn.microsoft.com/en-us/entra/identity-platform/v2-oauth2-device-code