DocuSign – oszustwo e-mailowe z dokumentami do działu prawnego

Nieoczekiwane wiadomości e-mail mogą stanowić poważne zagrożenie dla cyberbezpieczeństwa, zwłaszcza gdy wywołują poczucie pilności i sprawiają wrażenie, że pochodzą od zaufanych marek. Cyberprzestępcy często wykorzystują znane firmy, aby fałszywe wiadomości wyglądały przekonująco i zwiększyć prawdopodobieństwo, że odbiorcy zechcą z nimi wejść w interakcję. Oszustwo e-mailowe „DocuSign – Legal Department Document” jest jednym z takich przykładów. Te wiadomości e-mail nie są powiązane z DocuSign ani żadną legalną firmą, organizacją ani podmiotem. Stanowią one część złośliwej kampanii spamowej mającej na celu dystrybucję złośliwego oprogramowania.

Wniosek o fałszywy dokument prawny

Badacze ds. cyberbezpieczeństwa przeanalizowali te wiadomości e-mail i zidentyfikowali je jako spam, którego celem jest nakłonienie odbiorców do pobrania złośliwego oprogramowania. Wiadomości e-mail zazwyczaj mają temat „Supply Chain Regulatory Filing ID#SCR-392847” i rzekomo pochodzą z działu prawnego DocuSign.

Zgodnie z treścią wiadomości, dokument został wysłany do podpisu elektronicznego i musi zostać sprawdzony w ciągu trzech dni. Aby wzmocnić iluzję autentyczności, e-mail zawiera widoczny przycisk „Sprawdź dokument” oraz „Alternatywną metodę podpisu” wraz z kodem bezpieczeństwa. Elementy te zostały starannie opracowane, aby prośba wydawała się autentyczna i godna zaufania.

Chociaż DocuSign to legalna platforma podpisów elektronicznych, nie ma ona żadnego związku z tą kampanią. Co więcej, adres e-mail nadawcy pochodzi z domeny innej firmy, a nie z samego DocuSign.

Prawdziwy cel wiadomości e-mail

Ostatecznym celem oszustwa jest nakłonienie odbiorców do pobrania złośliwego pliku obrazu płyty ISO. Niezależnie od tego, czy ofiary klikną podany przycisk, czy postąpią zgodnie z alternatywnymi instrukcjami, zostaną one skierowane do pobrania szkodliwego pliku.

Pliki ISO mogą być montowane bezpośrednio przez system Windows jako dyski wirtualne, co czyni je atrakcyjnymi narzędziami dla cyberprzestępców. Atakujący często korzystają z tego formatu, ponieważ czasami pozwala on ominąć filtry bezpieczeństwa, które w przeciwnym razie blokowałyby bardziej oczywiste złośliwe załączniki.

Po zamontowaniu pliku ISO zostanie wyświetlony pojedynczy plik wykonywalny o nazwie:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Nazwa pliku jest celowo myląca. Dodanie rozszerzenia „.DOC” ma na celu sprawić, by plik wyglądał jak nieszkodliwy dokument Microsoft Word. W rzeczywistości rozszerzenie „.exe” identyfikuje go jako program wykonywalny zdolny do uruchomienia kodu na komputerze ofiary.

Co się dzieje po otwarciu pliku?

Dokładny typ złośliwego oprogramowania rozprzestrzenianego w ramach tej kampanii nie został jednoznacznie zidentyfikowany. Plik może jednak instalować szereg niebezpiecznych zagrożeń, w tym oprogramowanie wymuszające okup, trojany bankowe, programy wykradające dane uwierzytelniające, keyloggery, trojany zdalnego dostępu (RAT) i inne formy złośliwego oprogramowania.

Potencjalne konsekwencje obejmują:

• Kradzież nazw użytkowników, haseł i informacji finansowych
• Kradzież tożsamości, straty finansowe, nieautoryzowany dostęp do systemu i szyfrowanie danych

Ponieważ możliwości złośliwego oprogramowania pozostają nieznane, jakąkolwiek interakcję z plikiem wykonywalnym należy traktować jako poważny incydent bezpieczeństwa.

Znaki ostrzegawcze, które ujawniają oszustwo

Pomimo przekonującego wyglądu wiadomości, kilka przesłanek wskazuje na oszustwo. W e-mailu położono nacisk na pilność, narzucając trzydniowy termin na weryfikację dokumentów. W wiadomości podano również identyfikator prawny, aby stworzyć poczucie ważności i wywrzeć presję na odbiorców, aby podjęli szybkie działanie bez weryfikacji wniosku.

Wykorzystanie zaufanej marki, takiej jak DocuSign, to kolejna powszechna taktyka socjotechniczna. Cyberprzestępcy rozumieją, że użytkownicy chętniej ufają znanym usługom, zwłaszcza gdy wiadomość wygląda profesjonalnie i zawiera szczegóły, takie jak kody weryfikacyjne czy instrukcje podpisu.

Co zrobić, jeśli otrzymasz tę wiadomość e-mail

Odbiorcy powinni unikać jakiejkolwiek interakcji z wiadomością. Najbezpieczniej jest natychmiast usunąć wiadomość i powstrzymać się od otwierania załączników, klikania linków, pobierania plików i wykonywania instrukcji zawartych w wiadomości.

Osoby, które już pobrały lub uruchomiły plik, powinny odłączyć zainfekowane urządzenie od sieci, jeśli to możliwe, i przeprowadzić kompleksowe skanowanie za pomocą renomowanego oprogramowania antywirusowego lub zabezpieczającego punkty końcowe. Należy również zmienić wszelkie potencjalnie zagrożone hasła na czystym urządzeniu, zwłaszcza jeśli mogło dojść do ujawnienia poufnych kont.

Jak kampanie spamowe rozprzestrzeniają złośliwe oprogramowanie

Kampania związana z DocuSign to tylko jeden z przykładów szerszego trendu w cyberprzestępczości. Złośliwe wiadomości spamowe pozostają jedną z najczęstszych metod dystrybucji złośliwego oprogramowania. Atakujący rutynowo maskują szkodliwe treści pod postacią faktur, zawiadomień prawnych, aktualizacji dostaw, alertów dotyczących kont lub dokumentów biznesowych.

Typowe formaty rozprzestrzeniania złośliwego oprogramowania obejmują archiwa ZIP i RAR, pliki wykonywalne, dokumenty PDF, pliki pakietu Microsoft Office, skrypty oraz formaty obrazów dysków, takie jak pliki ISO i IMG. Niektóre złośliwe pliki rozpoczynają proces infekcji od razu po otwarciu, podczas gdy inne wymagają dodatkowych działań użytkownika, takich jak włączenie makr, wyodrębnienie zarchiwizowanej zawartości lub uruchomienie osadzonych plików wykonywalnych.

Ostatnie myśli

Oszustwo e-mailowe „DocuSign – Legal Department Document” pokazuje, jak cyberprzestępcy łączą podszywanie się pod zaufaną markę, treści o tematyce prawnej i sztuczną potrzebę pilności, aby skłonić ofiary do uruchomienia złośliwego oprogramowania. Choć wiadomość może wydawać się autentyczna na pierwszy rzut oka, jej prawdziwym celem jest infekowanie systemów i potencjalne naruszenie poufnych informacji. Zachowanie ostrożności w stosunku do niechcianych wiadomości e-mail, zwłaszcza tych z prośbą o natychmiastowe działanie lub pobranie plików, pozostaje jedną z najskuteczniejszych metod obrony przed tego typu zagrożeniami.