DocuSign - Truffa via email relativa ai documenti del dipartimento legale

Le email inaspettate possono comportare rischi significativi per la sicurezza informatica, soprattutto quando creano un senso di urgenza e sembrano provenire da marchi affidabili. I criminali informatici spesso sfruttano aziende note per rendere i messaggi fraudolenti più credibili e aumentare la probabilità che i destinatari interagiscano con essi. La truffa via email "DocuSign - Documento del Dipartimento Legale" ne è un esempio. Queste email non sono associate a DocuSign né ad alcuna azienda, organizzazione o ente legittimo. Fanno invece parte di una campagna di spam dannosa progettata per diffondere malware.

Una falsa richiesta di documento legale

I ricercatori di sicurezza informatica hanno analizzato queste email e le hanno identificate come messaggi di spam dannosi, progettati per indurre i destinatari a scaricare software malevolo. Le email in genere hanno come oggetto "Supply Chain Regulatory Filing ID#SCR-392847" e affermano di provenire dall'ufficio legale di DocuSign.

Secondo il messaggio, è stato inviato un documento per la firma elettronica e deve essere esaminato entro tre giorni. Per rafforzare l'illusione di legittimità, l'e-mail contiene un pulsante ben visibile "Revisiona il documento" e fornisce un "metodo di firma alternativo" accompagnato da un codice di sicurezza. Questi elementi sono studiati nei minimi dettagli per far apparire la richiesta autentica e affidabile.

Sebbene DocuSign sia una piattaforma di firma elettronica legittima, non ha alcun collegamento con questa campagna. Inoltre, l'indirizzo email del mittente proviene da un dominio di terze parti non correlato, e non da DocuSign stessa.

Il vero scopo dell’email

L'obiettivo finale della truffa è persuadere i destinatari a scaricare un file immagine ISO dannoso. Indipendentemente dal fatto che le vittime clicchino sul pulsante fornito o seguano le istruzioni alternative, vengono comunque indirizzate verso il download del file dannoso.

I file ISO possono essere montati direttamente da Windows come unità virtuali, il che li rende strumenti appetibili per i criminali informatici. Gli aggressori utilizzano spesso questo formato perché a volte può aggirare i filtri di sicurezza che altrimenti bloccherebbero allegati dannosi più evidenti.

Una volta montato il file ISO, esso rivela un singolo file eseguibile denominato:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Il nome del file è volutamente ingannevole. L'inclusione dell'estensione '.DOC' è studiata per far apparire il file come un innocuo documento di Microsoft Word. In realtà, l'estensione finale '.exe' lo identifica come un programma eseguibile in grado di eseguire codice sul computer della vittima.

Cosa succede dopo l’apertura del file?

Il malware specifico diffuso tramite questa campagna non è stato ancora identificato con certezza. Tuttavia, il file potrebbe installare diverse minacce pericolose, tra cui ransomware, trojan bancari, programmi per il furto di credenziali, keylogger, trojan di accesso remoto (RAT) o altre forme di software dannoso.

Le possibili conseguenze includono:

• Furto di nomi utente, password e informazioni finanziarie
• Furto d'identità, perdite finanziarie, accesso non autorizzato al sistema e crittografia dei dati

Poiché le capacità del malware rimangono sconosciute, qualsiasi interazione con il file eseguibile deve essere considerata un grave incidente di sicurezza.

Segnali d’allarme che rivelano la truffa

Nonostante l'aspetto convincente del messaggio, diversi indizi suggeriscono un'attività fraudolenta. L'e-mail fa molto leva sull'urgenza imponendo un termine di tre giorni per la revisione dei documenti. Inoltre, fa riferimento a un identificativo di deposito legale per creare un senso di importanza e spingere i destinatari ad agire rapidamente senza verificare la richiesta.

L'utilizzo di un marchio affidabile come DocuSign è un'altra tattica comune di ingegneria sociale. I criminali informatici sanno che gli utenti sono più propensi a fidarsi di servizi conosciuti, soprattutto quando il messaggio appare professionale e contiene dettagli come codici di verifica o istruzioni per la firma.

Cosa fare se ricevi questa email

I destinatari dovrebbero evitare di interagire in qualsiasi modo con il messaggio. L'approccio più sicuro è quello di eliminare immediatamente l'e-mail e astenersi dall'aprire allegati, cliccare su link, scaricare file o seguire qualsiasi istruzione contenuta nel messaggio.

Gli utenti che hanno già scaricato o eseguito il file dovrebbero, se possibile, disconnettere il dispositivo infetto dalle reti ed eseguire una scansione completa utilizzando un antivirus o un software di sicurezza endpoint affidabile. Eventuali password potenzialmente compromesse dovrebbero inoltre essere modificate utilizzando un dispositivo pulito, soprattutto se potrebbero essere stati esposti account sensibili.

Come le campagne di spam diffondono il malware

La campagna a tema DocuSign è solo un esempio di una tendenza più ampia nel campo della criminalità informatica. Le email di spam dannose rimangono uno dei metodi più comuni per la diffusione di malware. Gli aggressori mascherano regolarmente contenuti dannosi da fatture, avvisi legali, aggiornamenti di consegna, notifiche sull'account o documenti aziendali.

I formati di distribuzione più comuni per i malware includono archivi ZIP e RAR, file eseguibili, documenti PDF, file di Microsoft Office, script e formati di immagine disco come file ISO e IMG. Alcuni file dannosi avviano il processo di infezione non appena vengono aperti, mentre altri richiedono ulteriori azioni da parte dell'utente, come l'attivazione di macro, l'estrazione del contenuto degli archivi o l'avvio di file eseguibili incorporati.

Considerazioni finali

La truffa via email "DocuSign - Documento del Dipartimento Legale" dimostra come i criminali informatici combinino l'impersonificazione di marchi affidabili, messaggi a tema legale e un senso di urgenza artificiale per indurre le vittime a eseguire malware. Sebbene il messaggio possa apparire autentico a prima vista, il suo vero scopo è infettare i sistemi e potenzialmente compromettere informazioni sensibili. Mantenere un atteggiamento prudente nei confronti delle email non richieste, soprattutto quelle che richiedono un'azione immediata o il download di file, rimane una delle difese più efficaci contro tali minacce.