DocuSign - Prijevara s dokumentima pravnog odjela putem e-pošte

Neočekivane e-poruke mogu predstavljati značajne rizike za kibernetičku sigurnost, posebno kada stvaraju osjećaj hitnosti i čini se da potječu od pouzdanih robnih marki. Kibernetički kriminalci često iskorištavaju poznate tvrtke kako bi lažne poruke izgledale uvjerljivo i povećali vjerojatnost da će primatelji komunicirati s njima. Prijevara e-poštom 'DocuSign - Dokument pravnog odjela' jedan je takav primjer. Ove e-poruke nisu povezane s DocuSignom ili bilo kojom legitimnom tvrtkom, organizacijom ili entitetom. Umjesto toga, dio su zlonamjerne kampanje neželjene pošte osmišljene za distribuciju zlonamjernog softvera.

Zahtjev za lažni pravni dokument

Istraživači kibernetičke sigurnosti analizirali su ove e-poruke i identificirali ih kao neželjenu poštu namijenjenu prevari primatelja da preuzmu zlonamjerni softver. E-poruke obično stižu s naslovom 'Supply Chain Regulatory Filing ID#SCR-392847' i tvrde da potječu iz pravnog odjela tvrtke DocuSign.

Prema poruci, dokument je poslan na elektronički potpis i mora se pregledati u roku od tri dana. Kako bi se pojačala iluzija legitimnosti, e-pošta sadrži istaknuti gumb 'Pregledaj dokument' i nudi 'Alternativni način potpisivanja' uz sigurnosni kod. Ovi elementi su pažljivo izrađeni kako bi zahtjev izgledao autentično i pouzdano.

Iako je DocuSign legitimna platforma za elektronički potpis, nema nikakve veze s ovom kampanjom. Nadalje, adresa e-pošte pošiljatelja potječe s nepovezane domene treće strane, a ne od samog DocuSigna.

Prava svrha iza e-pošte

Krajnji cilj prijevare je nagovoriti primatelje da preuzmu zlonamjernu ISO datoteku slike diska. Bez obzira kliknu li žrtve na priloženi gumb ili slijede alternativne upute, usmjerene su prema dobivanju štetne datoteke.

ISO datoteke Windows može izravno montirati kao virtualne pogone, što ih čini atraktivnim alatima za kibernetičke kriminalce. Napadači često koriste ovaj format jer ponekad može zaobići sigurnosne filtere koji bi inače blokirali očitije zlonamjerne priloge.

Nakon što je ISO datoteka montirana, otkriva se jedna izvršna datoteka pod nazivom:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Naziv datoteke je namjerno obmanjujući. Uključivanje '.DOC' je osmišljeno kako bi datoteka izgledala kao bezopasan Microsoft Word dokument. U stvarnosti, konačna ekstenzija '.exe' identificira je kao izvršni program sposoban za izvršavanje koda na računalu žrtve.

Što se događa nakon otvaranja datoteke?

Točan zlonamjerni softver isporučen putem ove kampanje nije konačno identificiran. Međutim, datoteka može instalirati razne opasne prijetnje, uključujući ransomware, bankarske trojance, kradljivce vjerodajnica, keyloggere, trojance za udaljeni pristup (RAT) ili druge oblike zlonamjernog softvera.

Potencijalne posljedice uključuju:

• Krađa korisničkih imena, lozinki i financijskih podataka
• Krađa identiteta, financijski gubici, neovlašteni pristup sustavu i šifriranje podataka

Budući da mogućnosti zlonamjernog softvera ostaju nepoznate, svaka interakcija s izvršnom datotekom trebala bi se tretirati kao ozbiljan sigurnosni incident.

Znakovi upozorenja koji otkrivaju prijevaru

Unatoč uvjerljivom izgledu poruke, nekoliko pokazatelja ukazuje na prijevarnu aktivnost. E-pošta se uvelike oslanja na hitnost namećući trodnevni rok za pregled dokumenta. Također se poziva na pravni identifikator podnošenja kako bi se stvorio osjećaj važnosti i izvršio pritisak na primatelje da brzo djeluju bez provjere zahtjeva.

Korištenje pouzdanog robnog imena poput DocuSigna još je jedna uobičajena taktika socijalnog inženjeringa. Kibernetički kriminalci razumiju da korisnici češće vjeruju poznatim uslugama, posebno kada poruka izgleda profesionalno i sadrži detalje poput verifikacijskih kodova ili uputa za potpisivanje.

Što učiniti ako primite ovu e-poštu

Primatelji bi trebali izbjegavati bilo kakvu interakciju s porukom. Najsigurniji pristup je odmah izbrisati e-poruku i suzdržati se od otvaranja privitaka, klikanja na poveznice, preuzimanja datoteka ili slijeđenja bilo kakvih uputa sadržanih u poruci.

Pojedinci koji su već preuzeli ili pokrenuli datoteku trebali bi isključiti zaraženi uređaj s mreže kad god je to moguće i provesti sveobuhvatno skeniranje pomoću pouzdanog antivirusnog softvera ili softvera za zaštitu krajnjih točaka. Sve potencijalno kompromitirane lozinke također treba promijeniti s čistog uređaja, posebno ako su osjetljivi računi možda bili izloženi.

Kako kampanje neželjene pošte šire zlonamjerni softver

Kampanja s temom DocuSigna samo je jedan primjer šireg trenda u kibernetičkom kriminalu. Zlonamjerne neželjene e-poruke ostaju jedna od najčešćih metoda distribucije zlonamjernog softvera. Napadači rutinski prikrivaju štetni sadržaj kao račune, pravne obavijesti, ažuriranja isporuke, upozorenja o računu ili poslovne dokumente.

Uobičajeni formati za isporuku zlonamjernog softvera uključuju ZIP i RAR arhive, izvršne datoteke, PDF dokumente, datoteke Microsoft Officea, skripte i formate slika diskova kao što su ISO i IMG datoteke. Neke zlonamjerne datoteke započinju proces zaraze čim se otvore, dok druge zahtijevaju dodatne korisničke radnje, poput omogućavanja makronaredbi, izdvajanja arhiviranog sadržaja ili pokretanja ugrađenih izvršnih datoteka.

Završne misli

Prijevara e-poštom 'DocuSign - Dokument pravnog odjela' pokazuje kako kibernetički kriminalci kombiniraju lažno predstavljanje pouzdanog brenda, poruke s pravnom tematikom i umjetnu hitnost kako bi namamili žrtve na pokretanje zlonamjernog softvera. Iako se poruka na prvi pogled može činiti autentičnom, njezina prava svrha je zaraziti sustave i potencijalno ugroziti osjetljive informacije. Održavanje opreznog pristupa prema neželjenim e-porukama, posebno onima koje zahtijevaju hitnu akciju ili preuzimanje datoteka, ostaje jedna od najučinkovitijih obrana od takvih prijetnji.