DocuSign - Podvod s dokumenty právního oddělení v e-mailech

Neočekávané e-maily mohou představovat významná kybernetická rizika, zejména pokud vyvolávají dojem naléhavosti a vypadají, že pocházejí od důvěryhodných značek. Kyberzločinci často zneužívají známé společnosti, aby podvodné zprávy vypadaly přesvědčivě a zvýšily pravděpodobnost, že s nimi příjemci budou komunikovat. Jedním z takových příkladů je e-mailový podvod „DocuSign – dokument právního oddělení“. Tyto e-maily nejsou spojeny se společností DocuSign ani s žádnou legitimní společností, organizací či subjektem. Místo toho jsou součástí škodlivé spamové kampaně určené k distribuci malwaru.

Žádost o falešný právní dokument

Výzkumníci v oblasti kybernetické bezpečnosti analyzovali tyto e-maily a identifikovali je jako spamové zprávy, jejichž cílem je oklamat příjemce a přimět je ke stažení škodlivého softwaru. E-maily obvykle přicházejí s předmětem „Supply Chain Regulatory Filing ID#SCR-392847“ a tvrdí, že pocházejí z právního oddělení společnosti DocuSign.

Podle zprávy byl dokument odeslán k elektronickému podpisu a musí být zkontrolován do tří dnů. Pro posílení iluze legitimity obsahuje e-mail výrazné tlačítko „Zkontrolovat dokument“ a nabízí možnost „Alternativní způsob podpisu“ doplněnou bezpečnostním kódem. Tyto prvky jsou pečlivě vytvořeny tak, aby požadavek působil autenticky a důvěryhodně.

Přestože je DocuSign legitimní platforma pro elektronický podpis, nemá s touto kampaní žádnou souvislost. Navíc e-mailová adresa odesílatele pochází z nesouvisející domény třetí strany, nikoli ze samotné platformy DocuSign.

Skutečný účel e-mailu

Konečným cílem podvodu je přesvědčit příjemce ke stažení škodlivého souboru obrazu ISO disku. Ať už oběti kliknou na poskytnuté tlačítko, nebo se budou řídit alternativními pokyny, jsou přesměrovány k získání škodlivého souboru.

Soubory ISO lze systémem Windows připojit přímo jako virtuální disky, což z nich činí atraktivní nástroje pro kyberzločince. Útočníci tento formát často používají, protože někdy dokáže obejít bezpečnostní filtry, které by jinak blokovaly zjevnější škodlivé přílohy.

Jakmile je ISO soubor připojen, zobrazí se jeden spustitelný soubor s názvem:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Název souboru je záměrně klamavý. Použití přípony „.DOC“ má soubor vypadat jako neškodný dokument aplikace Microsoft Word. Ve skutečnosti ho koncová přípona „.exe“ identifikuje jako spustitelný program schopný spouštět kód na počítači oběti.

Co se stane po otevření souboru?

Přesný malware šířený touto kampaní nebyl dosud jednoznačně identifikován. Soubor však může instalovat řadu nebezpečných hrozeb, včetně ransomwaru, bankovních trojských koní, programů pro krádeže přihlašovacích údajů, keyloggerů, trojských koní pro vzdálený přístup (RAT) nebo jiných forem škodlivého softwaru.

Mezi možné důsledky patří:

• Krádež uživatelských jmen, hesel a finančních informací
• Krádež identity, finanční ztráty, neoprávněný přístup k systému a šifrování dat

Protože schopnosti malwaru zůstávají neznámé, měla by být jakákoli interakce se spustitelným souborem považována za vážný bezpečnostní incident.

Varovné signály, které odhalují podvod

Navzdory přesvědčivému vzhledu zprávy několik indikátorů naznačuje podvodnou aktivitu. E-mail se silně zaměřuje na naléhavost tím, že stanoví třídenní lhůtu pro kontrolu dokumentů. Také odkazuje na právní identifikátor podání, aby vytvořil pocit důležitosti a donutil příjemce k rychlé reakci bez ověření žádosti.

Používání důvěryhodné značky, jako je DocuSign, je další běžnou taktikou sociálního inženýrství. Kyberzločinci chápou, že uživatelé s větší pravděpodobností důvěřují známým službám, zejména pokud zpráva působí profesionálně a obsahuje podrobnosti, jako jsou ověřovací kódy nebo pokyny k podpisu.

Co dělat, když obdržíte tento e-mail

Příjemci by se měli vyvarovat jakékoli interakce se zprávou. Nejbezpečnějším přístupem je e-mail okamžitě smazat a zdržet se otevírání příloh, klikání na odkazy, stahování souborů ani dodržování pokynů obsažených ve zprávě.

Osoby, které si již soubor stáhly nebo spustily, by měly co nejdříve odpojit postižené zařízení od sítě a provést komplexní kontrolu pomocí renomovaného antivirového softwaru nebo softwaru pro zabezpečení koncových bodů. Veškerá potenciálně ohrožená hesla by měla být změněna i na čistém zařízení, zejména pokud mohly být odhaleny citlivé účty.

Jak spamové kampaně šíří malware

Kampaň s tématem DocuSign je pouze jedním z příkladů širšího trendu v kyberkriminalitě. Škodlivé spamové e-maily zůstávají jednou z nejběžnějších metod distribuce malwaru. Útočníci běžně maskují škodlivý obsah jako faktury, právní oznámení, aktualizace doručení, upozornění na účet nebo obchodní dokumenty.

Mezi běžné formáty pro šíření malwaru patří archivy ZIP a RAR, spustitelné soubory, dokumenty PDF, soubory Microsoft Office, skripty a formáty obrazů disků, jako jsou soubory ISO a IMG. Některé škodlivé soubory zahájí proces infekce ihned po otevření, zatímco jiné vyžadují další akce uživatele, jako je povolení maker, extrakce archivovaného obsahu nebo spuštění vložených spustitelných souborů.

Závěrečné myšlenky

E-mailový podvod s názvem „DocuSign – dokument právního oddělení“ ukazuje, jak kyberzločinci kombinují vydávání se za důvěryhodnou značku, sdělení s právní tematikou a umělou naléhavost, aby nalákali oběti ke spuštění malwaru. I když se zpráva může na první pohled zdát autentická, jejím skutečným účelem je infikovat systémy a potenciálně ohrozit citlivé informace. Opatrný přístup k nevyžádaným e-mailům, zejména k těm, které požadují okamžitou akci nebo stahování souborů, zůstává jednou z nejúčinnějších obran proti takovým hrozbám.