DocuSign — Juridiskās nodaļas dokumentu e-pasta krāpniecība

Negaidīti e-pasti var radīt ievērojamus kiberdrošības riskus, īpaši, ja tie rada steidzamības sajūtu un šķiet, ka tie nāk no uzticamiem zīmoliem. Kibernoziedznieki bieži izmanto labi pazīstamus uzņēmumus, lai krāpnieciski ziņojumi izskatītos pārliecinoši un palielinātu iespējamību, ka adresāti ar tiem mijiedarbosies. E-pasta krāpniecība “DocuSign - Juridiskās nodaļas dokuments” ir viens no šādiem piemēriem. Šie e-pasti nav saistīti ar DocuSign vai kādu citu likumīgu uzņēmumu, organizāciju vai vienību. Tā vietā tie ir daļa no ļaunprātīgas surogātpasta kampaņas, kas paredzēta ļaunprogrammatūras izplatīšanai.

Viltota juridiska dokumenta pieprasījums

Kiberdrošības pētnieki ir analizējuši šos e-pastus un identificējuši tos kā ļaunprātīgas surogātpasta ziņojumus, kuru mērķis ir maldināt adresātus, lai tie lejupielādētu ļaunprātīgu programmatūru. E-pasti parasti tiek piegādāti ar tēmas rindiņu “Piegādes ķēdes regulējošās iesniegšanas ID#SCR-392847” un tiek apgalvots, ka tie ir sūtīti no DocuSign juridiskās nodaļas.

Saskaņā ar ziņojumu dokuments ir nosūtīts elektroniskai parakstīšanai un tas ir jāpārskata trīs dienu laikā. Lai pastiprinātu leģitimitātes ilūziju, e-pastā ir iekļauta redzama poga “Pārskatīt dokumentu” un sniegta “Alternatīva parakstīšanas metode” kopā ar drošības kodu. Šie elementi ir rūpīgi izstrādāti, lai pieprasījums šķistu autentisks un uzticams.

Lai gan DocuSign ir likumīga elektroniskā paraksta platforma, tai nav nekāda sakara ar šo kampaņu. Turklāt sūtītāja e-pasta adrese ir iegūta no nesaistītas trešās puses domēna, nevis no pašas DocuSign platformas.

E-pasta patiesais mērķis

Krāpšanas galvenais mērķis ir pārliecināt adresātus lejupielādēt ļaunprātīgu ISO diska attēla failu. Neatkarīgi no tā, vai upuri noklikšķina uz norādītās pogas vai izpilda alternatīvās instrukcijas, viņi tiek novirzīti uz kaitīgā faila iegūšanu.

Windows var tieši pievienot ISO failus kā virtuālus diskus, padarot tos par pievilcīgiem rīkiem kibernoziedzniekiem. Uzbrucēji bieži izmanto šo formātu, jo tas dažreiz var apiet drošības filtrus, kas citādi bloķētu acīmredzamākus ļaunprātīgus pielikumus.

Kad ISO fails ir pievienots, tas atklāj vienu izpildāmo failu ar nosaukumu:

"NDA_līgums_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe"

Faila nosaukums ir tīši maldinošs. “.DOC” paplašinājuma iekļaušana ir paredzēta, lai fails izskatītos pēc nekaitīga Microsoft Word dokumenta. Patiesībā pēdējais paplašinājums “.exe” to identificē kā izpildāmu programmu, kas spēj palaist kodu upura datorā.

Kas notiek pēc faila atvēršanas?

Precīza ļaunprogrammatūra, kas tika piegādāta šīs kampaņas laikā, nav pārliecinoši identificēta. Tomēr fails var instalēt dažādus bīstamus draudus, tostarp izspiedējvīrusus, banku Trojas zirgus, akreditācijas datu zagļus, taustiņu reģistrētājus, attālās piekļuves Trojas zirgus (RAT) vai citas ļaunprogrammatūras formas.

Iespējamās sekas ir šādas:

• Lietotājvārdu, paroļu un finanšu informācijas zādzība
• Identitātes zādzība, finansiāli zaudējumi, neatļauta piekļuve sistēmai un datu šifrēšana

Tā kā ļaunprogrammatūras iespējas joprojām nav zināmas, jebkura mijiedarbība ar izpildāmo failu jāuzskata par nopietnu drošības incidentu.

Brīdinājuma zīmes, kas atklāj krāpniecību

Lai gan ziņojuma izskats šķiet pārliecinošs, vairākas pazīmes liecina par krāpniecisku darbību. E-pasts lielā mērā balstās uz steidzamību, nosakot trīs dienu termiņu dokumentu pārskatīšanai. Tajā ir arī atsauce uz juridisko iesniegšanas identifikatoru, lai radītu svarīguma sajūtu un piespiestu adresātus rīkoties ātri, nepārbaudot pieprasījumu.

Vēl viena izplatīta sociālās inženierijas taktika ir uzticama zīmola nosaukuma, piemēram, DocuSign, izmantošana. Kibernoziedznieki saprot, ka lietotāji, visticamāk, uzticas pazīstamiem pakalpojumiem, īpaši, ja ziņojums izskatās profesionāls un satur informāciju, piemēram, verifikācijas kodus vai parakstīšanas instrukcijas.

Ko darīt, ja saņemat šo e-pastu

Saņēmējiem jāizvairās no jebkādas mijiedarbības ar ziņojumu. Drošākā pieeja ir nekavējoties izdzēst e-pastu un atturēties no pielikumu atvēršanas, saišu noklikšķināšanas, failu lejupielādes vai jebkādu ziņojumā ietverto norādījumu izpildes.

Personām, kuras jau ir lejupielādējušas vai izpildījušas failu, ja iespējams, jāatvieno skartā ierīce no tīkliem un jāveic visaptveroša skenēšana, izmantojot uzticamu pretvīrusu vai galapunktu drošības programmatūru. Visas potenciāli apdraudētās paroles arī jānomaina no tīras ierīces, īpaši, ja varētu būt nokļuvuši slepeni konti.

Kā surogātpasta kampaņas izplata ļaunprogrammatūru

Ar DocuSign tematiku saistītā kampaņa ir tikai viens plašākas kibernoziedzības tendences piemērs. Ļaunprātīgas surogātpasta vēstules joprojām ir viena no visizplatītākajām ļaunprogrammatūras izplatīšanas metodēm. Uzbrucēji regulāri maskē kaitīgu saturu kā rēķinus, juridiskus paziņojumus, piegādes atjauninājumus, konta brīdinājumus vai biznesa dokumentus.

Izplatītākie ļaunprogrammatūras piegādes formāti ir ZIP un RAR arhīvi, izpildāmie faili, PDF dokumenti, Microsoft Office faili, skripti un disku attēlu formāti, piemēram, ISO un IMG faili. Daži ļaunprātīgi faili sāk inficēšanās procesu, tiklīdz tie tiek atvērti, savukārt citiem ir nepieciešamas papildu lietotāja darbības, piemēram, makro iespējošana, arhivēta satura izvilkšana vai iegulto izpildāmo failu palaišana.

Noslēguma domas

E-pasta krāpniecība “DocuSign — juridiskā departamenta dokuments” parāda, kā kibernoziedznieki apvieno uzticama zīmola imitāciju, juridiskas tēmas ziņojumapmaiņu un mākslīgu steidzamību, lai pievilinātu upurus ļaunprātīgas programmatūras palaišanai. Lai gan ziņojums no pirmā acu uzmetiena var šķist autentisks, tā patiesais mērķis ir inficēt sistēmas un potenciāli apdraudēt sensitīvu informāciju. Piesardzīga pieeja nevēlamiem e-pastiem, īpaši tiem, kas pieprasa tūlītēju rīcību vai failu lejupielādi, joprojām ir viens no efektīvākajiem aizsardzības līdzekļiem pret šādiem draudiem.