DocuSign - Απάτη μέσω email μέσω εγγράφων του Νομικού Τμήματος

Τα μη αναμενόμενα email μπορούν να δημιουργήσουν σημαντικούς κινδύνους για την κυβερνοασφάλεια, ειδικά όταν δημιουργούν μια αίσθηση επείγοντος και φαίνεται να προέρχονται από αξιόπιστες μάρκες. Οι κυβερνοεγκληματίες εκμεταλλεύονται συχνά γνωστές εταιρείες για να κάνουν τα δόλια μηνύματα να φαίνονται πειστικά και να αυξάνουν την πιθανότητα οι παραλήπτες να αλληλεπιδράσουν μαζί τους. Η απάτη μέσω email «DocuSign - Έγγραφο Νομικού Τμήματος» είναι ένα τέτοιο παράδειγμα. Αυτά τα email δεν σχετίζονται με την DocuSign ή οποιαδήποτε νόμιμη εταιρεία, οργανισμό ή οντότητα. Αντίθετα, αποτελούν μέρος μιας κακόβουλης εκστρατείας ανεπιθύμητης αλληλογραφίας που έχει σχεδιαστεί για τη διανομή κακόβουλου λογισμικού.

Αίτημα για πλαστό νομικό έγγραφο

Ερευνητές στον τομέα της κυβερνοασφάλειας έχουν αναλύσει αυτά τα email και τα έχουν αναγνωρίσει ως μηνύματα malspam που έχουν σκοπό να ξεγελάσουν τους παραλήπτες ώστε να κατεβάσουν κακόβουλο λογισμικό. Τα email συνήθως φτάνουν με θέμα «Supply Chain Regulatory Filing ID#SCR-392847» και ισχυρίζονται ότι προέρχονται από το Νομικό Τμήμα της DocuSign.

Σύμφωνα με το μήνυμα, ένα έγγραφο έχει σταλεί για ηλεκτρονική υπογραφή και πρέπει να εξεταστεί εντός τριών ημερών. Για να ενισχυθεί η ψευδαίσθηση της νομιμότητας, το email περιέχει ένα εμφανές κουμπί «Ελέγξτε το έγγραφο» και παρέχει μια «Εναλλακτική μέθοδο υπογραφής» συνοδευόμενη από έναν κωδικό ασφαλείας. Αυτά τα στοιχεία είναι προσεκτικά σχεδιασμένα ώστε το αίτημα να φαίνεται αυθεντικό και αξιόπιστο.

Παρόλο που το DocuSign είναι μια νόμιμη πλατφόρμα ηλεκτρονικών υπογραφών, δεν έχει καμία σχέση με αυτήν την καμπάνια. Επιπλέον, η διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα προέρχεται από έναν μη σχετικό τομέα τρίτου μέρους και όχι από το ίδιο το DocuSign.

Ο πραγματικός σκοπός πίσω από το email

Ο απώτερος στόχος της απάτης είναι να πείσει τους παραλήπτες να κατεβάσουν ένα κακόβουλο αρχείο εικόνας δίσκου ISO. Είτε τα θύματα κάνουν κλικ στο παρεχόμενο κουμπί είτε ακολουθούν τις εναλλακτικές οδηγίες, κατευθύνονται προς την απόκτηση του επιβλαβούς αρχείου.

Τα αρχεία ISO μπορούν να τοποθετηθούν απευθείας από τα Windows ως εικονικές μονάδες δίσκου, γεγονός που τα καθιστά ελκυστικά εργαλεία για τους κυβερνοεγκληματίες. Οι εισβολείς χρησιμοποιούν συχνά αυτήν τη μορφή επειδή μερικές φορές μπορεί να παρακάμψει τα φίλτρα ασφαλείας που διαφορετικά θα μπλόκαραν πιο προφανή κακόβουλα συνημμένα.

Μόλις μονταριστεί το αρχείο ISO, αποκαλύπτεται ένα μόνο εκτελέσιμο αρχείο με το όνομα:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Το όνομα αρχείου είναι σκόπιμα παραπλανητικό. Η συμπερίληψη του '.DOC' έχει σχεδιαστεί για να κάνει το αρχείο να φαίνεται σαν ένα ακίνδυνο έγγραφο του Microsoft Word. Στην πραγματικότητα, η τελική επέκταση '.exe' το αναγνωρίζει ως ένα εκτελέσιμο πρόγραμμα ικανό να εκτελέσει κώδικα στον υπολογιστή του θύματος.

Τι συμβαίνει μετά το άνοιγμα του αρχείου;

Το ακριβές κακόβουλο λογισμικό που διαδίδεται μέσω αυτής της καμπάνιας δεν έχει προσδιοριστεί με ακρίβεια. Ωστόσο, το αρχείο ενδέχεται να εγκαταστήσει μια ποικιλία επικίνδυνων απειλών, όπως ransomware, τραπεζικά trojans, κλέφτες διαπιστευτηρίων, προγράμματα καταγραφής keyloggers, trojans απομακρυσμένης πρόσβασης (RAT) ή άλλες μορφές κακόβουλου λογισμικού.

Πιθανές συνέπειες περιλαμβάνουν:

• Κλοπή ονομάτων χρήστη, κωδικών πρόσβασης και οικονομικών πληροφοριών
• Κλοπή ταυτότητας, οικονομικές απώλειες, μη εξουσιοδοτημένη πρόσβαση στο σύστημα και κρυπτογράφηση δεδομένων

Επειδή οι δυνατότητες του κακόβουλου λογισμικού παραμένουν άγνωστες, οποιαδήποτε αλληλεπίδραση με το εκτελέσιμο αρχείο θα πρέπει να αντιμετωπίζεται ως σοβαρό περιστατικό ασφαλείας.

Προειδοποιητικά σημάδια που αποκαλύπτουν την απάτη

Παρά την πειστική εμφάνιση του μηνύματος, αρκετές ενδείξεις υποδηλώνουν δόλια δραστηριότητα. Το email βασίζεται σε μεγάλο βαθμό στο επείγον, επιβάλλοντας μια προθεσμία τριών ημερών για την εξέταση του εγγράφου. Επίσης, αναφέρει ένα αναγνωριστικό νόμιμης κατάθεσης για να δημιουργήσει μια αίσθηση σημασίας και να πιέσει τους παραλήπτες να ενεργήσουν γρήγορα χωρίς να επαληθεύσουν το αίτημα.

Η χρήση μιας αξιόπιστης επωνυμίας όπως το DocuSign είναι μια άλλη κοινή τακτική κοινωνικής μηχανικής. Οι κυβερνοεγκληματίες κατανοούν ότι οι χρήστες είναι πιο πιθανό να εμπιστεύονται οικείες υπηρεσίες, ειδικά όταν το μήνυμα φαίνεται επαγγελματικό και περιέχει λεπτομέρειες όπως κωδικούς επαλήθευσης ή οδηγίες υπογραφής.

Τι να κάνετε εάν λάβετε αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου

Οι παραλήπτες θα πρέπει να αποφεύγουν την αλληλεπίδραση με το μήνυμα με οποιονδήποτε τρόπο. Η ασφαλέστερη προσέγγιση είναι να διαγράψετε αμέσως το email και να μην ανοίξετε συνημμένα, να κάνετε κλικ σε συνδέσμους, να κατεβάσετε αρχεία ή να ακολουθήσετε οποιεσδήποτε οδηγίες που περιέχονται στο μήνυμα.

Τα άτομα που έχουν ήδη κατεβάσει ή εκτελέσει το αρχείο θα πρέπει να αποσυνδέσουν την επηρεαζόμενη συσκευή από τα δίκτυα, όποτε είναι δυνατόν, και να εκτελέσουν μια ολοκληρωμένη σάρωση χρησιμοποιώντας αξιόπιστο λογισμικό προστασίας από ιούς ή λογισμικό ασφαλείας τελικών σημείων. Οποιοιδήποτε πιθανώς παραβιασμένοι κωδικοί πρόσβασης θα πρέπει επίσης να αλλάξουν από μια καθαρή συσκευή, ειδικά εάν ενδέχεται να έχουν εκτεθεί ευαίσθητοι λογαριασμοί.

Πώς οι καμπάνιες ανεπιθύμητης αλληλογραφίας διαδίδουν κακόβουλο λογισμικό

Η καμπάνια με θέμα το DocuSign είναι μόνο ένα παράδειγμα μιας ευρύτερης τάσης στο κυβερνοέγκλημα. Τα κακόβουλα ανεπιθύμητα email παραμένουν μια από τις πιο συνηθισμένες μεθόδους διανομής κακόβουλου λογισμικού. Οι εισβολείς συνήθως μεταμφιέζουν επιβλαβές περιεχόμενο ως τιμολόγια, νομικές ειδοποιήσεις, ενημερώσεις παράδοσης, ειδοποιήσεις λογαριασμού ή επιχειρηματικά έγγραφα.

Οι συνήθεις μορφές παράδοσης κακόβουλου λογισμικού περιλαμβάνουν αρχεία ZIP και RAR, εκτελέσιμα αρχεία, έγγραφα PDF, αρχεία Microsoft Office, σενάρια και μορφές εικόνας δίσκου, όπως αρχεία ISO και IMG. Ορισμένα κακόβουλα αρχεία ξεκινούν τη διαδικασία μόλυνσης αμέσως μόλις ανοιχτούν, ενώ άλλα απαιτούν πρόσθετες ενέργειες χρήστη, όπως ενεργοποίηση μακροεντολών, εξαγωγή αρχειοθετημένου περιεχομένου ή εκκίνηση ενσωματωμένων εκτελέσιμων αρχείων.

Τελικές Σκέψεις

Η απάτη μέσω email «DocuSign - Έγγραφο Νομικού Τμήματος» καταδεικνύει πώς οι κυβερνοεγκληματίες συνδυάζουν την αξιόπιστη πλαστοπροσωπία επωνυμίας, τα μηνύματα με νομικό θέμα και την τεχνητή επείγουσα ανάγκη για να παρασύρουν τα θύματα στην εκτέλεση κακόβουλου λογισμικού. Ενώ το μήνυμα μπορεί να φαίνεται αυθεντικό με την πρώτη ματιά, ο πραγματικός σκοπός του είναι να μολύνει συστήματα και ενδεχομένως να θέσει σε κίνδυνο ευαίσθητες πληροφορίες. Η διατήρηση μιας προσεκτικής προσέγγισης απέναντι στα ανεπιθύμητα email, ειδικά εκείνα που ζητούν άμεση δράση ή λήψεις αρχείων, παραμένει μια από τις πιο αποτελεσματικές άμυνες ενάντια σε τέτοιες απειλές.