Хакеры стали использовать уведомления об изменении учётной записи Apple для фишинга

Пользователи начали получать уведомления об изменении учётной записи Apple с серверов компании. Эта фишинговая кампания потенциально позволяет обходить спам-фильтры.

Электронное письмо выглядело как стандартное уведомление безопасности Apple, сообщающее об обновлении информации в учётной записи. Однако в сообщении содержится фишинговая приманка, утверждающая, что пользователь купил iPhone за $899 через PayPal. Рядом указан номер телефона для отмены транзакции.

«Следующие изменения в вашей учётной записи Apple, hxfedna24005@icloud.com, были внесены 14 апреля 2026 г. в 19:01:40 по Гринвичу», — гласит текст письма. 

Если получатель позвонит по номеру «поддержки», то мошенники попытаются убедить его в том, что учётная запись была взломана, а также попросить установить программное обеспечение для удалённого доступа или предоставить финансовую информацию.

В предыдущих фишинговых кампаниях удалённый доступ использовался для кражи средств с банковских счетов, развёртывания вредоносного ПО или кражи иных данных.

Фишинговые письма поступают из инфраструктуры Apple с использованием адреса appleid@id.apple.com и проходят проверку подлинности SPF, DKIM и DMARC.

dkim=pass header.d=id.apple.com header.i=@id.apple.com header.b=o3ICBLWNspf=pass (spf.icloud.com: domain of uatdsasadmin@email.apple.com designates 17.111.110.47 as permitted sender) smtp.mailfrom=uatdsasadmin@email.apple.com

Анализ заголовков письма показывает, что сообщение было отправлено из почтовой инфраструктуры Apple и не было подделано:

• исходный сервер: rn2-txn-msbadger01107.apple.com;

• исходящий ретранслятор: outbound.mr.icloud.com;

• IP-адрес: 17.111.110.47 (принадлежит Apple).

Для осуществления атаки злоумышленник создаёт Apple ID и вставляет фишинговое сообщение в поля личной информации учётной записи, разделяя текст между полями имени и фамилии.

В BleepingComputer смогли воспроизвести это поведение, создав тестовую учётную запись Apple и добавив аналогичный фишинговый текст в поля имени и фамилии.

Чтобы вызвать уведомление об изменении профиля учётной записи Apple, хакер изменяет информацию о доставке учётной записи, что приводит к отправке Apple предупреждения безопасности.

Поскольку компания включает в эти уведомления поля имени и фамилии, предоставленные пользователем, фишинговое сообщение внедряется непосредственно в электронное письмо и доставляется как часть легитимного оповещения.

Электронное письмо изначально отправляется на адрес электронной почты iCloud, связанный с учётной записью злоумышленника. Этот адрес также указан в электронном письме с уведомлением.

Анализ заголовка показывает, что первоначальный получатель отличается от конечного адреса доставки. Это указывает на то, что злоумышленник, вероятно, использует список рассылки для распространения писем.

Кампания похожа на предыдущую атаку, в которой злоумышленник использовал приглашения в календарь iCloud для отправки поддельных уведомлений о покупках через серверы Apple.