📰 Source : BleepingComputer | Date de publication : 19 avril 2026

Une campagne de phishing par callback exploite une fonctionnalitĂ© lĂ©gitime des notifications de modification de compte Apple ID pour distribuer des leurres frauduleux via l’infrastructure officielle d’Apple.

🎯 MĂ©canisme d’attaque

L’attaquant crĂ©e un compte Apple ID et insĂšre le message de phishing dans les champs nom et prĂ©nom du profil (le message Ă©tant rĂ©parti sur les deux champs). Il modifie ensuite les informations de livraison du compte, ce qui dĂ©clenche l’envoi automatique par Apple d’une alerte de sĂ©curitĂ© incluant les champs nom/prĂ©nom fournis par l’utilisateur — et donc le message frauduleux.

Le leurre prĂ©tend qu’un achat d’iPhone Ă  899 USD via PayPal a Ă©tĂ© effectuĂ©, et invite la victime Ă  appeler un numĂ©ro de tĂ©lĂ©phone (18023530761) pour annuler la transaction.

✅ Authentification email contournĂ©e

L’email est envoyĂ© depuis appleid@id.apple.com et passe les contrĂŽles :

  • SPF : pass (IP 17.111.110.47, appartenant Ă  Apple)
  • DKIM : pass (header.d=id.apple.com)
  • DMARC : pass

Le serveur d’origine est rn2-txn-msbadger01107.apple.com, relayĂ© via outbound.mr.icloud.com. L’email n’est pas spoofĂ©.

📧 Distribution Ă  grande Ă©chelle

L’analyse des en-tĂȘtes rĂ©vĂšle que le destinataire original diffĂšre de l’adresse de livraison finale, indiquant l’utilisation probable d’une liste de diffusion pour cibler de multiples victimes. L’adresse iCloud de l’attaquant (hxfedna24005@icloud.com) est incluse dans la notification, renforçant la crĂ©dibilitĂ© du scĂ©nario de compromission.

📞 Objectif du callback phishing

Lorsque la victime appelle le numéro, les escrocs tentent de :

  • Convaincre la victime que son compte est compromis
  • Faire installer un logiciel d’accĂšs Ă  distance
  • Obtenir des informations financiĂšres
  • Voler des fonds, dĂ©ployer des malwares ou exfiltrer des donnĂ©es

🔗 Contexte

Cette technique est similaire Ă  une campagne prĂ©cĂ©dente abusant des invitations iCloud Calendar. BleepingComputer a confirmĂ© la reproductibilitĂ© de l’attaque et a contactĂ© Apple sans obtenir de rĂ©ponse. L’abus reste possible au moment de la publication.

📌 Type d’article : Analyse technique d’une campagne de phishing active, visant Ă  documenter le mĂ©canisme d’exploitation d’une fonctionnalitĂ© lĂ©gitime Apple pour contourner les filtres anti-spam.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1566 — Phishing (Initial Access)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)
  • T1656 — Impersonation (Defense Evasion)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1219 — Remote Access Software (Command and Control)

IOC

🟡 Indice de vĂ©rification factuelle : 56/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 4635 chars — texte complet (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmĂ©s externellement (0pts)
  • ✅ 6 TTPs MITRE identifiĂ©es (15pts)
  • ⬜ date RSS ou approximĂ©e (0pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/apple-account-change-alerts-abused-to-send-phishing-emails/

🖮 Archive : https://web.archive.org/web/20260420060327/https://www.bleepingcomputer.com/news/security/apple-account-change-alerts-abused-to-send-phishing-emails/