DocuSign - E-mail-svindel med dokumenter fra den juridiske afdeling

Uventede e-mails kan udgøre betydelige cybersikkerhedsrisici, især når de skaber en følelse af hastende karakter og ser ud til at stamme fra betroede brands. Cyberkriminelle udnytter ofte kendte virksomheder til at få falske beskeder til at se overbevisende ud og øge sandsynligheden for, at modtagere vil interagere med dem. E-mail-svindelnumret 'DocuSign - Legal Department Document' er et sådant eksempel. Disse e-mails er ikke forbundet med DocuSign eller nogen legitim virksomhed, organisation eller enhed. I stedet er de en del af en ondsindet spamkampagne designet til at distribuere malware.

Anmodning om falsk juridisk dokument

Cybersikkerhedsforskere har analyseret disse e-mails og identificeret dem som malspam-beskeder, der har til formål at narre modtagere til at downloade skadelig software. E-mailsene ankommer typisk med emnelinjen 'Supply Chain Regulatory Filing ID#SCR-392847' og hævder at stamme fra DocuSigns juridiske afdeling.

Ifølge beskeden er et dokument blevet sendt til elektronisk underskrift og skal gennemgås inden for tre dage. For at forstærke illusionen af legitimitet indeholder e-mailen en fremtrædende 'Gennemgå dokument'-knap og en 'Alternativ underskriftsmetode' ledsaget af en sikkerhedskode. Disse elementer er omhyggeligt udformet for at få anmodningen til at fremstå autentisk og troværdig.

Selvom DocuSign er en legitim platform til elektronisk signatur, har den ingen forbindelse til denne kampagne. Desuden stammer afsenderens e-mailadresse fra et uafhængigt tredjepartsdomæne snarere end fra DocuSign selv.

Det virkelige formål bag e-mailen

Det endelige mål med svindelnumret er at overtale modtagerne til at downloade en skadelig ISO-diskbilledfil. Uanset om ofrene klikker på den angivne knap eller følger de alternative instruktioner, ledes de mod at få fat i den skadelige fil.

ISO-filer kan monteres direkte af Windows som virtuelle drev, hvilket gør dem til attraktive værktøjer for cyberkriminelle. Angribere bruger ofte dette format, fordi det nogle gange kan omgå sikkerhedsfiltre, der ellers ville blokere mere åbenlyse ondsindede vedhæftede filer.

Når ISO-filen er monteret, viser den en enkelt eksekverbar fil med navnet:

'NDA_Aftale_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Filnavnet er bevidst vildledende. Medtagelsen af '.DOC' er designet til at få filen til at se ud som et harmløst Microsoft Word-dokument. I virkeligheden identificerer den endelige filtypenavn '.exe' den som et eksekverbart program, der kan køre kode på offerets computer.

Hvad sker der, efter filen er åbnet?

Den præcise malware, der blev leveret gennem denne kampagne, er ikke blevet endeligt identificeret. Filen kan dog installere en række farlige trusler, herunder ransomware, banktrojanere, legitimationsoplysninger, keyloggere, fjernadgangstrojanere (RAT'er) eller andre former for ondsindet software.

Potentielle konsekvenser omfatter:

• Tyveri af brugernavne, adgangskoder og økonomiske oplysninger
• Identitetstyveri, økonomiske tab, uautoriseret systemadgang og datakryptering

Da malwarens muligheder forbliver ukendte, bør enhver interaktion med den eksekverbare fil behandles som en alvorlig sikkerhedshændelse.

Advarselstegn, der afslører svindelnummeret

Trods beskedens overbevisende udseende tyder flere indikatorer på svigagtig aktivitet. E-mailen er i høj grad baseret på hastende karakter ved at pålægge en tre-dages frist for dokumentgennemgang. Den henviser også til et juridisk registreringsidentifikator for at skabe en følelse af vigtighed og presse modtagerne til at handle hurtigt uden at verificere anmodningen.

Brugen af et betroet brandnavn som DocuSign er en anden almindelig social engineering-taktik. Cyberkriminelle forstår, at brugere er mere tilbøjelige til at stole på velkendte tjenester, især når beskeden fremstår professionel og indeholder detaljer såsom bekræftelseskoder eller underskriftsinstruktioner.

Hvad skal du gøre, hvis du modtager denne e-mail

Modtagere bør undgå at interagere med beskeden på nogen måde. Den sikreste fremgangsmåde er at slette e-mailen med det samme og undlade at åbne vedhæftede filer, klikke på links, downloade filer eller følge instruktioner i beskeden.

Personer, der allerede har downloadet eller kørt filen, bør afbryde forbindelsen til den berørte enhed, når det er muligt, og udføre en omfattende scanning med et velrenommeret antivirus- eller endpoint-sikkerhedssoftwareprogram. Eventuelle kompromitterede adgangskoder bør også ændres fra en ren enhed, især hvis følsomme konti kan være blevet eksponeret.

Hvordan spamkampagner spreder malware

Kampagnen med DocuSign-tema er blot ét eksempel på en bredere tendens inden for cyberkriminalitet. Ondsindede spam-e-mails er fortsat en af de mest almindelige metoder til distribution af malware. Angribere skjuler rutinemæssigt skadeligt indhold som fakturaer, juridiske meddelelser, leveringsopdateringer, kontoadvarsler eller forretningsdokumenter.

Almindelige formater for malwarelevering omfatter ZIP- og RAR-arkiver, eksekverbare filer, PDF-dokumenter, Microsoft Office-filer, scripts og diskbilledformater såsom ISO- og IMG-filer. Nogle ondsindede filer starter infektionsprocessen, så snart de åbnes, mens andre kræver yderligere brugerhandlinger, såsom aktivering af makroer, udpakning af arkiveret indhold eller åbning af integrerede eksekverbare filer.

Afsluttende tanker

E-mail-svindelnumret 'DocuSign - Legal Department Document' demonstrerer, hvordan cyberkriminelle kombinerer efterligning af et betroet brand, juridisk inspirerede beskeder og kunstig hastværk for at lokke ofre til at køre malware. Selvom beskeden kan virke autentisk ved første øjekast, er dens sande formål at inficere systemer og potentielt kompromittere følsomme oplysninger. At opretholde en forsigtig tilgang til uopfordrede e-mails, især dem, der anmoder om øjeblikkelig handling eller fildownloads, er fortsat et af de mest effektive forsvar mod sådanne trusler.