Calendário do iCloud abusado para enviar e-mails de phishing dos servidores da Apple
Os convites do Calendário do iCloud estão sendo abusados para enviar e-mails de phishing disfarçados de notificações de compra como se estivessem sido enviado diretamente dos servidores de e-mail da Apple, tornando-os mais propensos a contornar os filtros de spam para chegar às caixas de entrada dos alvos, de acordo com masslive.
No início deste mês, um leitor compartilhou um e-mail com o BleepingComputer que afirmava ser um recibo de pagamento de US$ 599 cobrado na conta do PayPal do destinatário. Este e-mail incluía um número de telefone se o destinatário quisesse discutir o pagamento ou fazer alterações nele.
“Olá cliente, Sua conta do PayPal foi cobrada $ 599.00. Estamos confirmando o recebimento do seu pagamento recente”, dizia o e-mail.
“If you wish to discuss or make changes to this payment, please contact our support team at +1 +1 (786) 902-8579. Contact us to cancel +1 (786) 902-8579,” continued the email.
O objetivo desses e-mails é induzir os destinatários a pensar que sua conta do PayPal foi cobrada de forma fraudulenta para fazer uma compra e assustar o destinatário do e-mail para que ligue para o número de telefone de “suporte” do golpista.
Ao ligar para o número, um golpista tentará assustá-lo e fazê-lo pensar que sua conta foi invadida ou que precisa se conectar ao seu computador para iniciar um reembolso, solicitando que você baixe e execute o software.
No entanto, em golpes anteriores como esse, esse acesso remoto foi usado para roubar dinheiro de contas bancárias, implantar malware ou roubar dados do computador.
Abusar dos convites do Calendário do iCloud para enviar e-mails
A isca neste e-mail é um golpe típico de phishing de retorno de chamada, mas o que foi estranho foi enviado do noreply@email.apple.com, passando nas verificações de segurança de e-mail SPF, DMARC e DKIM, o que significa que veio legitimamente do servidor de e-mail da Apple.
Authentication-Results: spf=pass (sender IP is 17.23.6.69) smtp.mailfrom=email.apple.com; dkim=pass (signature was verified) header.d=email.apple.com;dmarc=pass action=none header.from=email.apple.com;
Como você pode ver no e-mail de phishing acima, esse e-mail é, na verdade, um convite do Calendário do iCloud, em que o agente da ameaça incluiu o texto de phishing no campo Notas e, em seguida, convidou um endereço de e-mail do Microsoft 365 que eles controlavam.
Quando o evento do Calendário do iCloud é criado e pessoas externas são convidadas, um convite por e-mail é enviado dos servidores da Apple em email.apple.com do nome do proprietário do Calendário do iCloud com o endereço de e-mail “noreply@email.apple.com”
No e-mail visto pelo BleepingComputer, o convite é endereçado a uma conta do Microsoft 365, “Billing3@WilliamerDickinsonerLTD.onmicrosoft.com”.
Semelhante a uma campanha de phishing anterior que utilizou o recurso “Novo endereço” do PayPal, acredita-se que o endereço de e-mail do Microsoft 365 para o qual o convite é enviado é, na verdade, uma lista de e-mails que encaminha automaticamente qualquer e-mail recebido para todos os outros membros do grupo.
Nesse caso, os membros da lista de e-mails são os alvos do golpe de phishing.
Como o e-mail foi inicialmente iniciado a partir dos servidores de e-mail da Apple, se for encaminhado pelo Microsoft 365, geralmente falhará nas verificações de e-mail SPF.
Para evitar isso, o Microsoft 365 usa o SRS (Esquema de Reescrita do Remetente) para reescrever o caminho de retorno para um endereço associado à Microsoft, permitindo que ele passe nas verificações SPF.
Original Return-Path: noreply@email.apple.com Rewritten Return-Path: bounces+SRS=8a6ka=3I@williamerdickinsonerltd.onmicrosoft.com
Embora não haja nada de especial na isca de phishing em si, o abuso do recurso legítimo de convite do Calendário do iCloud, dos servidores de e-mail da Apple e de um endereço de e-mail da Apple adiciona um senso de legitimidade ao e-mail e também permite que ele ignore os filtros de spam, pois vem de uma fonte confiável.
Como regra geral, se você receber um convite inesperado do Agenda com uma mensagem estranha, ele deve ser tratado com cautela.
O BleepingComputer entrou em contato com a Apple sobre esse golpe, mas não recebeu uma resposta ao nosso e-mail.
