DocuSign - Estafa de correu electrònic de documents del departament legal

Els correus electrònics inesperats poden plantejar riscos importants de ciberseguretat, sobretot quan creen una sensació d'urgència i semblen provenir de marques de confiança. Els ciberdelinqüents sovint exploten empreses conegudes per fer que els missatges fraudulents semblin convincents i augmentar la probabilitat que els destinataris interactuïn amb ells. L'estafa de correu electrònic "DocuSign - Document del departament legal" n'és un exemple. Aquests correus electrònics no estan associats amb DocuSign ni amb cap empresa, organització o entitat legítima. En canvi, formen part d'una campanya de correu brossa maliciosa dissenyada per distribuir programari maliciós.

Sol·licitud de document legal fals

Investigadors de ciberseguretat han analitzat aquests correus electrònics i els han identificat com a missatges de correu brossa destinats a enganyar els destinataris perquè descarreguin programari maliciós. Els correus electrònics solen arribar amb l'assumpte "Supply Chain Regulatory Filing ID#SCR-392847" i afirmen que provenen del departament legal de DocuSign.

Segons el missatge, s'ha enviat un document per a la seva signatura electrònica i s'ha de revisar en un termini de tres dies. Per reforçar la il·lusió de legitimitat, el correu electrònic conté un botó destacat de "Revisa el document" i proporciona un "Mètode de signatura alternatiu" acompanyat d'un codi de seguretat. Aquests elements estan elaborats amb cura per fer que la sol·licitud sembli autèntica i fiable.

Tot i que DocuSign és una plataforma de signatura electrònica legítima, no té cap connexió amb aquesta campanya. A més, l'adreça de correu electrònic del remitent prové d'un domini de tercers no relacionat en lloc de la mateixa DocuSign.

El veritable propòsit darrere del correu electrònic

L'objectiu final de l'estafa és persuadir els destinataris perquè descarreguin un fitxer d'imatge de disc ISO maliciós. Tant si les víctimes fan clic al botó proporcionat com si segueixen les instruccions alternatives, se'ls dirigeix cap a l'obtenció del fitxer nociu.

Els fitxers ISO poden ser muntats directament per Windows com a unitats virtuals, cosa que els converteix en eines atractives per als ciberdelinqüents. Els atacants sovint utilitzen aquest format perquè de vegades pot eludir els filtres de seguretat que, d'altra manera, bloquejarien els fitxers adjunts maliciosos més evidents.

Un cop muntat el fitxer ISO, es mostra un únic fitxer executable anomenat:

'Acord_NDA_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

El nom del fitxer és intencionadament enganyós. La inclusió de ".DOC" està dissenyada per fer que el fitxer sembli un document de Microsoft Word inofensiu. En realitat, l'extensió final ".exe" l'identifica com un programa executable capaç d'executar codi a l'ordinador de la víctima.

Què passa després d’obrir el fitxer?

No s'ha identificat de manera concloent el programari maliciós exacte que s'ha utilitzat en aquesta campanya. Tanmateix, el fitxer pot instal·lar diverses amenaces perilloses, com ara ransomware, troians bancaris, lladres de credencials, keyloggers, troians d'accés remot (RAT) o altres formes de programari maliciós.

Les possibles conseqüències inclouen:

• Robatori de noms d'usuari, contrasenyes i informació financera
• Robatori d'identitat, pèrdues financeres, accés no autoritzat al sistema i xifratge de dades

Com que les capacitats del programari maliciós continuen sent desconegudes, qualsevol interacció amb l'executable s'ha de tractar com un incident de seguretat greu.

Senyals d’alerta que revelen l’estafa

Malgrat l'aparença convincent del missatge, diversos indicadors suggereixen una activitat fraudulenta. El correu electrònic es basa en gran mesura en la urgència imposant un termini de tres dies per a la revisió dels documents. També fa referència a un identificador de presentació legal per crear una sensació d'importància i pressionar els destinataris perquè actuïn ràpidament sense verificar la sol·licitud.

L'ús d'una marca de confiança com ara DocuSign és una altra tàctica habitual d'enginyeria social. Els ciberdelinqüents entenen que és més probable que els usuaris confiïn en serveis familiars, sobretot quan el missatge sembla professional i conté detalls com ara codis de verificació o instruccions de signatura.

Què cal fer si rebeu aquest correu electrònic

Els destinataris han d'evitar interactuar amb el missatge de qualsevol manera. La manera més segura és suprimir el correu electrònic immediatament i abstenir-se d'obrir fitxers adjunts, fer clic a enllaços, descarregar fitxers o seguir les instruccions que contingui el missatge.

Les persones que ja hagin descarregat o executat el fitxer haurien de desconnectar el dispositiu afectat de les xarxes sempre que sigui possible i realitzar una anàlisi completa amb un programari antivirus o de seguretat de terminals de bona reputació. Les contrasenyes potencialment compromeses també s'haurien de canviar des d'un dispositiu net, sobretot si hi ha comptes sensibles exposats.

Com les campanyes de correu brossa propaguen programari maliciós

La campanya amb temàtica de DocuSign és només un exemple d'una tendència més àmplia en la ciberdelinqüència. Els correus electrònics de spam maliciosos continuen sent un dels mètodes més comuns per distribuir programari maliciós. Els atacants solen disfressar contingut nociu com a factures, avisos legals, actualitzacions de lliurament, alertes de compte o documents comercials.

Els formats habituals de distribució de programari maliciós inclouen arxius ZIP i RAR, fitxers executables, documents PDF, fitxers de Microsoft Office, scripts i formats d'imatge de disc com ara fitxers ISO i IMG. Alguns fitxers maliciosos inicien el procés d'infecció tan bon punt s'obren, mentre que d'altres requereixen accions addicionals de l'usuari, com ara habilitar macros, extreure contingut arxivat o iniciar executables incrustats.

Reflexions finals

L'estafa de correu electrònic "DocuSign - Legal Department Document" demostra com els ciberdelinqüents combinen la suplantació d'identitat de marca de confiança, els missatges de temàtica legal i la urgència artificial per atraure les víctimes a executar programari maliciós. Tot i que el missatge pot semblar autèntic a primera vista, el seu veritable propòsit és infectar sistemes i potencialment comprometre informació sensible. Mantenir un enfocament prudent envers els correus electrònics no sol·licitats, especialment aquells que sol·liciten una acció immediata o descàrregues de fitxers, continua sent una de les defenses més efectives contra aquestes amenaces.