TokyoBlackHatNews

bleepingcomputer.com 4分で読了

Appleアカウント変更アラートが悪用されてフィッシングメールを送信

Image

Appleアカウント変更通知が悪用され、Appleのサーバーから送信された正規メール内に偽のiPhone購入フィッシング詐欺を埋め込まれています。これにより信頼性が高まり、スパムフィルターをバイパスする可能性があります。

読者がBleepingComputerと共有したメールは、標準的なAppleセキュリティ通知のように見え、アカウント情報が更新されたことを示していました。

しかし、メッセージに組み込まれていたのは、PayPal経由で899ドルのiPhone購入が行われたと主張するフィッシング餌であり、取引をキャンセルするために電話をかける電話番号がありました。

「親愛なるユーザーへ 899米ドルのiPhone購入(ペイパル経由)をキャンセルするには 18023530761」

「以下の変更があなたのAppleアカウント([email protected])に対して、2026年4月14日の午後7時1分40秒GMT に行われました:」

「配送情報」

Image

これらのメールは、受信者に自分のアカウントが不正購入に使用されたと思わせ、詐欺師の「サポート」番号に電話をかけるよう脅すために設計されています。

この番号に電話すると、詐欺師は通常、被害者に自分のアカウントが侵害されたことを確信させようとし、リモートアクセスソフトウェアをインストールするか、財務情報を提供するよう指示します。

以前のコールバックフィッシング キャンペーンでは、このリモートアクセスを使用して銀行口座から資金を盗んだり、マルウェアを配布したり、データを盗んだりしていました。

Appleアカウント通知の悪用

フィッシング餌は新しいものではありませんが、このキャンペーンは、脅威アクターが正規のWebサイト機能を悪用して攻撃を実施することで、戦術を進化させ続ける方法を示しています。

フィッシングメールはAppleのインフラストラクチャから [email protected] アドレスを使用して送信され、SPF、DKIM、およびDMARC認証チェックに合格しました。これはAppleからの正規メールであることを示しています。

dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected]

メールヘッダーのさらなる分析により、メッセージはAppleメールインフラストラクチャから発信され、スプーフィングされていないことが示されています。

初期サーバー: rn2-txn-msbadger01107.apple.com
アウトバウンドリレー: outbound.mr.icloud.com
IPアドレス: 17.111.110.47(Apple所有)

攻撃を実施するために、脅威アクターはApple IDを作成し、フィッシングメッセージをアカウントの個人情報フィールドに挿入し、テキストを名前と姓フィールド全体に分割します。

BleepingComputerは、テストAppleアカウントを作成し、名前と姓フィールドに同様のコールバックフィッシング言語を追加することでこの動作を再現できました。これは、各フィールドが詐欺メッセージ全体を含めることができないためです。

Appleアカウント名フィールドを変更して攻撃を再現

Appleアカウントプロフィール変更通知をトリガーするために、攻撃者はアカウントの配送情報を変更します。これにより、Appleはユーザーに変更を通知するセキュリティアラートを送信します。

Appleはこれらの通知内にユーザーが提供した名前と姓フィールドを含めるため、フィッシングメッセージはメールに直接埋め込まれ、正規アラートの一部として配信されます。

攻撃の対象がメッセージを受け取った一方で、メールは最初に攻撃者のアカウントに関連付けられたiCloudメールアドレスに送信されました。このメールアドレスは通知メールにも含まれており、メールを見るとより懸念に見え、アカウントがハッキングされたと信じるように導く可能性があります。

ヘッダー分析により、元の受信者が最終配信アドレスと異なることが示されており、攻撃者が複数のターゲットにメールを配信するためにメーリングリストを使用している可能性があることを示しています。

このキャンペーンは、Apple サーバー経由で偽の購入通知を送信するためにiCloudカレンダーの招待を悪用した以前のフィッシングキャンペーンに似ています。

一般的なルールとして、ユーザーは購入を主張するか、サポート番号に電話をかけるよう促す予期しないアカウントアラートを慎重に扱うべきです。特に、最近の変更を開始していない場合や、珍しいメールアドレスが含まれている場合です。

BleepingComputerは金曜日にこのキャンペーンについてAppleに連絡しましたが、応答を受け取らず、悪用はまだ可能です。

翻訳元: https://www.bleepingcomputer.com/news/security/apple-account-change-alerts-abused-to-send-phishing-emails/

ソース: bleepingcomputer.com
#Apple #Appleアカウント #iCloud #アカウント侵害 #コールバック詐欺 #サイバー詐欺 #セキュリティアラート悪用 #セキュリティ脅威 #フィッシング詐欺 #メール認証バイパス

関連記事

マイクロソフト、Teamsの起動障害を引き起こすサービス更新をロールバック

マイクロソフトがWindows Serverの問題を修正する緊急アップデートをリリース

Vercelがセキュリティ侵害を確認、ハッカーが盗まれたデータの販売を主張