DocuSign - Мошенничество с рассылкой документов по электронной почте от юридического отдела.

Неожиданные электронные письма могут представлять значительные риски для кибербезопасности, особенно когда они создают ощущение срочности и выглядят так, будто отправлены от известных брендов. Киберпреступники часто используют известные компании, чтобы сделать мошеннические сообщения убедительными и повысить вероятность того, что получатели будут с ними взаимодействовать. Мошенническая схема с электронными письмами «Документ юридического отдела DocuSign» — один из таких примеров. Эти письма не связаны с DocuSign или какой-либо законной компанией, организацией или структурой. Вместо этого они являются частью вредоносной спам-кампании, предназначенной для распространения вредоносного ПО.

Запрос на поддельный юридический документ

Исследователи в области кибербезопасности проанализировали эти электронные письма и определили их как вредоносные спам-сообщения, предназначенные для обмана получателей с целью заставить их загрузить вредоносное программное обеспечение. Как правило, письма приходят с темой «Регулирующая заявка по цепочке поставок, идентификационный номер SCR-392847» и утверждают, что отправлены юридическим отделом DocuSign.

Согласно сообщению, документ отправлен на электронную подпись и должен быть рассмотрен в течение трех дней. Чтобы усилить иллюзию легитимности, в электронном письме содержится заметная кнопка «Просмотреть документ» и предлагается «Альтернативный способ подписания» с кодом безопасности. Эти элементы тщательно продуманы, чтобы запрос выглядел подлинным и заслуживающим доверия.

Хотя DocuSign является легитимной платформой для электронных подписей, она не имеет никакого отношения к этой кампании. Более того, адрес электронной почты отправителя принадлежит стороннему домену, а не самой компании DocuSign.

Истинная цель этого электронного письма

Конечная цель мошенничества — убедить получателей загрузить вредоносный ISO-образ диска. Независимо от того, нажмут ли жертвы на предоставленную кнопку или последуют альтернативным инструкциям, их направят к получению вредоносного файла.

ISO-файлы могут напрямую монтироваться Windows в качестве виртуальных дисков, что делает их привлекательным инструментом для киберпреступников. Злоумышленники часто используют этот формат, поскольку он иногда может обходить фильтры безопасности, которые в противном случае блокировали бы более очевидные вредоносные вложения.

После монтирования ISO-файла отображается единственный исполняемый файл с именем:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Имя файла намеренно вводит в заблуждение. Добавление расширения '.DOC' призвано создать впечатление, что файл является безобидным документом Microsoft Word. В действительности же расширение '.exe' указывает на то, что это исполняемая программа, способная запускать код на компьютере жертвы.

Что происходит после открытия файла?

Точный тип вредоносного ПО, распространяемого в рамках этой кампании, окончательно не установлен. Однако файл может устанавливать различные опасные угрозы, включая программы-вымогатели, банковские трояны, программы для кражи учетных данных, кейлоггеры, трояны удаленного доступа (RAT) или другие виды вредоносного программного обеспечения.

Возможные последствия включают в себя:

• Кража имен пользователей, паролей и финансовой информации.
• Кража личных данных, финансовые потери, несанкционированный доступ к системе и шифрование данных.

Поскольку возможности вредоносной программы остаются неизвестными, любое взаимодействие с исполняемым файлом следует рассматривать как серьезный инцидент безопасности.

Признаки, указывающие на мошенничество

Несмотря на убедительный внешний вид сообщения, несколько признаков указывают на мошенничество. В электронном письме делается упор на срочность, поскольку для проверки документов установлен трехдневный срок. Также в нем упоминается идентификатор юридического документа, чтобы создать ощущение важности и подтолкнуть получателей к быстрым действиям без проверки запроса.

Использование известного бренда, такого как DocuSign, — еще одна распространенная тактика социальной инженерии. Киберпреступники понимают, что пользователи с большей вероятностью доверяют знакомым сервисам, особенно если сообщение выглядит профессионально и содержит такие детали, как коды подтверждения или инструкции по подписанию.

Что делать, если вы получили это электронное письмо?

Получателям следует избегать любого взаимодействия с сообщением. Самый безопасный подход — немедленно удалить электронное письмо и воздержаться от открытия вложений, перехода по ссылкам, загрузки файлов или выполнения каких-либо инструкций, содержащихся в сообщении.

Лицам, уже загрузившим или запустившим файл, следует по возможности отключить затронутое устройство от сети и выполнить комплексное сканирование с помощью надежного антивирусного программного обеспечения или программного обеспечения для защиты конечных устройств. Также следует изменить все потенциально скомпрометированные пароли на чистом устройстве, особенно если могли быть раскрыты конфиденциальные учетные записи.

Как спам-кампании распространяют вредоносное ПО

Кампания, связанная с DocuSign, — лишь один пример более широкой тенденции в киберпреступности. Вредоносные спам-письма остаются одним из наиболее распространенных способов распространения вредоносного ПО. Злоумышленники обычно маскируют вредоносное содержимое под счета-фактуры, юридические уведомления, обновления доставки, оповещения об учетной записи или деловые документы.

К распространенным форматам распространения вредоносного ПО относятся ZIP- и RAR-архивы, исполняемые файлы, PDF-документы, файлы Microsoft Office, скрипты и форматы образов дисков, такие как ISO и IMG. Некоторые вредоносные файлы начинают процесс заражения сразу после открытия, в то время как другие требуют дополнительных действий пользователя, таких как включение макросов, извлечение содержимого архива или запуск встроенных исполняемых файлов.

Заключительные мысли

Мошенническая схема с электронными письмами «DocuSign - Документ юридического отдела» демонстрирует, как киберпреступники сочетают в себе выдачу себя за доверенный бренд, сообщения на юридическую тематику и искусственное ощущение срочности, чтобы заманить жертв к запуску вредоносного ПО. Хотя на первый взгляд сообщение может показаться подлинным, его истинная цель — заражение систем и потенциальная компрометация конфиденциальной информации. Осторожное отношение к нежелательным электронным письмам, особенно к тем, которые требуют немедленных действий или загрузки файлов, остается одним из наиболее эффективных способов защиты от подобных угроз.