DocuSign – E-postsvindel med dokumenter fra den juridiske avdelingen

Uventede e-poster kan utgjøre betydelige cybersikkerhetsrisikoer, spesielt når de skaper en følelse av at det haster og ser ut til å komme fra pålitelige merkevarer. Nettkriminelle utnytter ofte kjente selskaper for å få falske meldinger til å se overbevisende ut og øke sannsynligheten for at mottakerne vil samhandle med dem. E-postsvindelen «DocuSign – Legal Department Document» er et slikt eksempel. Disse e-postene er ikke tilknyttet DocuSign eller noe legitimt selskap, organisasjon eller enhet. I stedet er de en del av en ondsinnet spamkampanje som er utformet for å distribuere skadelig programvare.

En forespørsel om falsk juridisk dokument

Forskere innen nettsikkerhet har analysert disse e-postene og identifisert dem som malspam-meldinger som er ment å lure mottakerne til å laste ned skadelig programvare. E-postene kommer vanligvis med emnelinjen «Supply Chain Regulatory Filing ID#SCR-392847» og hevder å stamme fra DocuSigns juridiske avdeling.

I følge meldingen er et dokument sendt til elektronisk signering og må gjennomgås innen tre dager. For å forsterke illusjonen av legitimitet inneholder e-posten en tydelig «Se gjennom dokument»-knapp og en «Alternativ signeringsmetode» ledsaget av en sikkerhetskode. Disse elementene er nøye utformet for å få forespørselen til å virke autentisk og troverdig.

Selv om DocuSign er en legitim plattform for elektronisk signatur, har den ingen tilknytning til denne kampanjen. Videre kommer avsenderens e-postadresse fra et urelatert tredjepartsdomene i stedet for fra DocuSign selv.

Det virkelige formålet bak e-posten

Det endelige målet med svindelen er å overtale mottakerne til å laste ned en skadelig ISO-diskavbildningsfil. Enten ofrene klikker på den angitte knappen eller følger de alternative instruksjonene, blir de ledet mot å få tak i den skadelige filen.

ISO-filer kan monteres direkte av Windows som virtuelle stasjoner, noe som gjør dem til attraktive verktøy for nettkriminelle. Angripere bruker ofte dette formatet fordi det noen ganger kan omgå sikkerhetsfiltre som ellers ville blokkert mer åpenbare skadelige vedlegg.

Når ISO-filen er montert, viser den en enkelt kjørbar fil med navnet:

'NDA_Avtale_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Filnavnet er bevisst villedende. Inkluderingen av «.DOC» er utformet for å få filen til å se ut som et harmløst Microsoft Word-dokument. I virkeligheten identifiserer den endelige filtypen «.exe» den som et kjørbart program som kan kjøre kode på offerets datamaskin.

Hva skjer etter at filen er åpnet?

Den nøyaktige skadelige programvaren som ble levert gjennom denne kampanjen er ikke endelig identifisert. Filen kan imidlertid installere en rekke farlige trusler, inkludert ransomware, banktrojanere, legitimasjonstyveri, keyloggere, fjerntilgangstrojanere (RAT-er) eller andre former for skadelig programvare.

Potensielle konsekvenser inkluderer:

• Tyveri av brukernavn, passord og finansiell informasjon
• Identitetstyveri, økonomiske tap, uautorisert systemtilgang og datakryptering

Fordi skadevarens egenskaper fortsatt er ukjente, bør enhver interaksjon med den kjørbare filen behandles som en alvorlig sikkerhetshendelse.

Varseltegn som avslører svindelen

Til tross for meldingens overbevisende utseende, tyder flere indikatorer på svindelaktivitet. E-posten er i stor grad basert på hastverk ved å pålegge en tredagers frist for dokumentgjennomgang. Den refererer også til en juridisk registreringsidentifikator for å skape en følelse av viktighet og presse mottakerne til å handle raskt uten å bekrefte forespørselen.

Bruken av et pålitelig merkenavn som DocuSign er en annen vanlig sosial manipuleringstaktikk. Nettkriminelle forstår at brukere er mer sannsynlig å stole på kjente tjenester, spesielt når meldingen virker profesjonell og inneholder detaljer som bekreftelseskoder eller signeringsinstruksjoner.

Hva du skal gjøre hvis du mottar denne e-posten

Mottakere bør unngå å samhandle med meldingen på noen måte. Den sikreste fremgangsmåten er å slette e-posten umiddelbart og avstå fra å åpne vedlegg, klikke på lenker, laste ned filer eller følge instruksjoner i meldingen.

Personer som allerede har lastet ned eller kjørt filen, bør koble den berørte enheten fra nettverk når det er mulig, og utføre en omfattende skanning med et anerkjent antivirus- eller endepunktsikkerhetsprogram. Eventuelle potensielt kompromitterte passord bør også endres fra en ren enhet, spesielt hvis sensitive kontoer kan ha blitt eksponert.

Hvordan spamkampanjer sprer skadelig programvare

Kampanjen med DocuSign-tema er bare ett eksempel på en bredere trend innen nettkriminalitet. Ondsinnede spam-e-poster er fortsatt en av de vanligste metodene for distribusjon av skadelig programvare. Angripere kamuflerer rutinemessig skadelig innhold som fakturaer, juridiske varsler, leveringsoppdateringer, kontovarsler eller forretningsdokumenter.

Vanlige formater for levering av skadelig programvare inkluderer ZIP- og RAR-arkiver, kjørbare filer, PDF-dokumenter, Microsoft Office-filer, skript og diskbildeformater som ISO- og IMG-filer. Noen skadelige filer starter infeksjonsprosessen så snart de åpnes, mens andre krever ytterligere brukerhandlinger, for eksempel aktivering av makroer, utpakking av arkivert innhold eller kjøring av innebygde kjørbare filer.

Avsluttende tanker

E-postsvindelen «DocuSign – Legal Department Document» demonstrerer hvordan nettkriminelle kombinerer etterligning av pålitelig merkevare, juridisk-inspirerte meldinger og kunstig hastverk for å lokke ofre til å kjøre skadelig programvare. Selv om meldingen kan virke autentisk ved første øyekast, er dens virkelige formål å infisere systemer og potensielt kompromittere sensitiv informasjon. Å opprettholde en forsiktig tilnærming til uønskede e-poster, spesielt de som ber om umiddelbar handling eller filnedlastinger, er fortsatt et av de mest effektive forsvarene mot slike trusler.