Selon le blog de Kaseya, sur la base de détections d’INKY, des campagnes exploitent des « DKIM replay attacks » en abusant de workflows légitimes (Apple, PayPal, DocuSign, HelloSign) pour diffuser des arnaques via des e‑mails authentifiés. Les champs contrôlés par l’utilisateur (nom du vendeur, notes) servent à insérer des consignes frauduleuses et un numéro de téléphone, puis les messages signés sont rejoués vers des cibles.

• Mécanique de l’attaque ⚙️: un e‑mail légitime signé DKIM est capturé puis rejoué à d’autres destinataires sans modification des en‑têtes/body signés, ce qui maintient dkim=pass et donc dmarc=pass (si alignement). DKIM garantit l’intégrité du contenu, pas l’identité du routeur/délivreur. Même si SPF échoue au transfert, un DKIM aligné suffit à faire passer DMARC.

• Cas Apple 🍎: création d’un Apple ID et souscription App Store (ex. Surfshark VPN) avec insertion d’un message malveillant dans le champ nom de compte (« To cancel Call +1 (803) 745-3821 »). Apple envoie une confirmation signée DKIM (d=email.apple.com). L’attaquant transfère ensuite l’e‑mail tel quel à des victimes ; l’authentification passe et l’e‑mail paraît fiable. Les cibles appellent le numéro et les fraudeurs collectent des données de paiement/PII ou poussent à installer malware/outil d’accès distant.

• Cas PayPal 💵: ouverture d’un litige/émission de facture en paramétrant le nom du vendeur avec un message d’arnaque et un numéro. PayPal envoie un avis depuis service@paypal.com signé d=paypal.com vers une boîte sous contrôle des attaquants, qui le rejouent ensuite aux victimes. Les filtres acceptent l’e‑mail (domaine réputé, DKIM/DMARC OK) et les victimes sont incitées à appeler pour divulguer des informations sensibles ou installer un outil d’accès à distance. Le texte souligne pourquoi les contrôles traditionnels échouent : DKIM/DMARC valides, SPF non bloquant, et contenu libre inclus dans la partie signée. INKY indique détecter ces signaux avec de la GenAI.

• IOCs et TTPs

  • IOCs 📌: numéro de téléphone d’arnaque +1 (803) 745-3821 ; adresses d’exemple vues dans les en‑têtes des cas (apple02@zantigoo.com, carey_mary@myyahoo.com).
  • TTPs 🧰: relecture DKIM d’e‑mails légitimes ; abus de champs contrôlés par l’utilisateur (nom vendeur/note) ; transfert SMTP sans altération pour conserver la signature ; ingénierie sociale par téléphone ; contournement de SPF via DKIM aligné pour DMARC ; collecte de PII/financières et poussée d’outils d’accès distant/malware.

Article de type analyse de menace visant à exposer une technique d’abus de l’infrastructure e‑mail légitime et ses exemples concrets.

🧠 TTPs et IOCs détectés

TTP

relecture DKIM d’e‑mails légitimes ; abus de champs contrôlés par l’utilisateur (nom vendeur/note) ; transfert SMTP sans altération pour conserver la signature ; ingénierie sociale par téléphone ; contournement de SPF via DKIM aligné pour DMARC ; collecte de PII/financières et poussée d’outils d’accès distant/malware

IOC

numéro de téléphone d’arnaque +1 (803) 745-3821 ; adresses d’exemple vues dans les en‑têtes des cas (apple02@zantigoo.com, carey_mary@myyahoo.com)

🔗 Source originale : https://www.kaseya.com/blog/dkim-replay-attacks-apple-paypal-invoice-abuse/