DocuSign - Oplichting via e-mail met documenten van de juridische afdeling

Onverwachte e-mails kunnen aanzienlijke cybersecurityrisico's met zich meebrengen, vooral wanneer ze een gevoel van urgentie creëren en afkomstig lijken te zijn van vertrouwde merken. Cybercriminelen maken vaak misbruik van bekende bedrijven om frauduleuze berichten overtuigend te laten lijken en de kans te vergroten dat ontvangers erop reageren. De e-mailfraude met de titel 'DocuSign - Legal Department Document' is daar een voorbeeld van. Deze e-mails zijn niet gelieerd aan DocuSign of een legitiem bedrijf, organisatie of entiteit. In plaats daarvan maken ze deel uit van een kwaadaardige spamcampagne die is ontworpen om malware te verspreiden.

Een vals verzoek om een juridisch document

Onderzoekers op het gebied van cyberbeveiliging hebben deze e-mails geanalyseerd en geïdentificeerd als malspam-berichten die bedoeld zijn om ontvangers te verleiden tot het downloaden van schadelijke software. De e-mails hebben doorgaans als onderwerp 'Supply Chain Regulatory Filing ID#SCR-392847' en beweren afkomstig te zijn van de juridische afdeling van DocuSign.

Volgens het bericht is er een document ter elektronische ondertekening verzonden dat binnen drie dagen moet worden beoordeeld. Om de schijn van betrouwbaarheid te versterken, bevat de e-mail een prominente knop 'Document beoordelen' en een 'Alternatieve ondertekeningsmethode' met een beveiligingscode. Deze elementen zijn zorgvuldig samengesteld om het verzoek authentiek en betrouwbaar te laten lijken.

Hoewel DocuSign een legitiem platform voor elektronische handtekeningen is, heeft het geen enkele connectie met deze campagne. Bovendien is het e-mailadres van de afzender afkomstig van een onafhankelijk domein van een derde partij en niet van DocuSign zelf.

Het werkelijke doel achter de e-mail

Het uiteindelijke doel van de oplichting is om slachtoffers over te halen een schadelijk ISO-schijfkopiebestand te downloaden. Of slachtoffers nu op de aangegeven knop klikken of de alternatieve instructies volgen, ze worden ertoe aangezet het schadelijke bestand te downloaden.

ISO-bestanden kunnen rechtstreeks door Windows als virtuele schijven worden gekoppeld, waardoor ze aantrekkelijke hulpmiddelen zijn voor cybercriminelen. Aanvallers gebruiken dit formaat vaak omdat het soms beveiligingsfilters kan omzeilen die anders meer voor de hand liggende kwaadaardige bijlagen zouden blokkeren.

Zodra het ISO-bestand is gekoppeld, wordt één uitvoerbaar bestand weergegeven met de volgende naam:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

De bestandsnaam is opzettelijk misleidend. De toevoeging van '.DOC' is bedoeld om het bestand te laten lijken op een onschadelijk Microsoft Word-document. In werkelijkheid identificeert de extensie '.exe' het als een uitvoerbaar programma dat code kan uitvoeren op de computer van het slachtoffer.

Wat gebeurt er nadat het bestand is geopend?

De exacte malware die via deze campagne wordt verspreid, is nog niet definitief vastgesteld. Het bestand kan echter diverse gevaarlijke bedreigingen installeren, waaronder ransomware, banktrojans, programma's voor het stelen van inloggegevens, keyloggers, remote access trojans (RAT's) of andere vormen van kwaadaardige software.

Mogelijke gevolgen zijn onder meer:

• Diefstal van gebruikersnamen, wachtwoorden en financiële gegevens
• Identiteitsdiefstal, financiële verliezen, ongeautoriseerde systeemtoegang en gegevensversleuteling.

Omdat de mogelijkheden van de malware nog onbekend zijn, moet elke interactie met het uitvoerbare bestand worden beschouwd als een ernstig beveiligingsincident.

Waarschuwingssignalen die de oplichting onthullen

Ondanks de overtuigende indruk die het bericht wekt, wijzen verschillende indicatoren op frauduleuze activiteiten. De e-mail maakt sterk gebruik van urgentie door een deadline van drie dagen te stellen voor de beoordeling van documenten. Er wordt ook verwezen naar een identificatiecode voor juridische documenten om een gevoel van urgentie te creëren en ontvangers onder druk te zetten snel te handelen zonder het verzoek te controleren.

Het gebruik van een vertrouwde merknaam zoals DocuSign is een andere veelvoorkomende social engineering-tactiek. Cybercriminelen begrijpen dat gebruikers eerder vertrouwen hebben in bekende diensten, vooral wanneer het bericht er professioneel uitziet en details bevat zoals verificatiecodes of ondertekeningsinstructies.

Wat te doen als u deze e-mail ontvangt?

Ontvangers moeten op geen enkele manier met het bericht interageren. De veiligste aanpak is om de e-mail direct te verwijderen en geen bijlagen te openen, op links te klikken, bestanden te downloaden of instructies in het bericht op te volgen.

Personen die het bestand al hebben gedownload of uitgevoerd, moeten het betreffende apparaat indien mogelijk loskoppelen van het netwerk en een grondige scan uitvoeren met behulp van betrouwbare antivirus- of endpointbeveiligingssoftware. Eventuele gecompromitteerde wachtwoorden moeten ook worden gewijzigd vanaf een schoon apparaat, met name als gevoelige accounts mogelijk zijn blootgesteld.

Hoe spamcampagnes malware verspreiden

De campagne met DocuSign als thema is slechts één voorbeeld van een bredere trend in cybercriminaliteit. Kwaadaardige spam-e-mails blijven een van de meest voorkomende methoden voor het verspreiden van malware. Aanvallers vermommen schadelijke inhoud routinematig als facturen, juridische mededelingen, leveringsupdates, accountwaarschuwingen of zakelijke documenten.

Veelvoorkomende manieren waarop malware wordt verspreid, zijn onder andere ZIP- en RAR-archieven, uitvoerbare bestanden, PDF-documenten, Microsoft Office-bestanden, scripts en schijfimageformaten zoals ISO- en IMG-bestanden. Sommige kwaadaardige bestanden starten het infectieproces zodra ze worden geopend, terwijl andere aanvullende acties van de gebruiker vereisen, zoals het inschakelen van macro's, het uitpakken van archiefmateriaal of het starten van ingesloten uitvoerbare bestanden.

Slotgedachten

De e-mailfraude met de slogan 'DocuSign - Legal Department Document' laat zien hoe cybercriminelen vertrouwde merknamen, juridisch getinte berichten en een kunstmatige urgentie combineren om slachtoffers ertoe te verleiden malware uit te voeren. Hoewel het bericht op het eerste gezicht authentiek lijkt, is het werkelijke doel ervan systemen te infecteren en mogelijk gevoelige informatie te compromitteren. Voorzichtig blijven met ongevraagde e-mails, vooral die waarin om onmiddellijke actie of het downloaden van bestanden wordt gevraagd, blijft een van de meest effectieve verdedigingsmechanismen tegen dergelijke bedreigingen.