DocuSign - Podvod s dokumentmi právneho oddelenia prostredníctvom e-mailov

Neočakávané e-maily môžu predstavovať významné kybernetické riziká, najmä ak vytvárajú pocit naliehavosti a zdajú sa byť odoslané od dôveryhodných značiek. Kyberzločinci často zneužívajú známe spoločnosti, aby podvodné správy vyzerali presvedčivo a zvýšili pravdepodobnosť, že s nimi príjemcovia budú interagovať. Jedným z takýchto príkladov je podvodný e-mail s názvom „DocuSign – dokument právneho oddelenia“. Tieto e-maily nie sú spojené so spoločnosťou DocuSign ani so žiadnou legitímnou spoločnosťou, organizáciou alebo subjektom. Namiesto toho sú súčasťou škodlivej spamovej kampane určenej na distribúciu škodlivého softvéru.

Žiadosť o falošný právny dokument

Výskumníci v oblasti kybernetickej bezpečnosti analyzovali tieto e-maily a identifikovali ich ako spamové správy, ktorých cieľom je oklamať príjemcov a prinútiť ich stiahnuť si škodlivý softvér. E-maily zvyčajne prichádzajú s predmetom „Supply Chain Regulatory Filing ID#SCR-392847“ a uvádza sa, že pochádzajú z právneho oddelenia spoločnosti DocuSign.

Podľa správy bol dokument odoslaný na elektronický podpis a musí byť skontrolovaný do troch dní. Na posilnenie ilúzie legitímnosti e-mail obsahuje výrazné tlačidlo „Skontrolovať dokument“ a poskytuje možnosť „Alternatívny spôsob podpisu“ spolu s bezpečnostným kódom. Tieto prvky sú starostlivo navrhnuté tak, aby žiadosť pôsobila autenticky a dôveryhodne.

Hoci je DocuSign legitímna platforma pre elektronický podpis, nemá s touto kampaňou žiadnu súvislosť. Okrem toho, e-mailová adresa odosielateľa pochádza z nesúvisiacej domény tretej strany, a nie zo samotnej platformy DocuSign.

Skutočný účel e-mailu

Konečným cieľom podvodu je presvedčiť príjemcov, aby si stiahli škodlivý súbor s obrazom ISO disku. Či už obete kliknú na poskytnuté tlačidlo alebo budú postupovať podľa alternatívnych pokynov, sú presmerované na získanie škodlivého súboru.

Súbory ISO je možné priamo pripojiť systémom Windows ako virtuálne disky, čo z nich robí atraktívne nástroje pre kyberzločincov. Útočníci tento formát často používajú, pretože niekedy dokáže obísť bezpečnostné filtre, ktoré by inak blokovali zjavnejšie škodlivé prílohy.

Po pripojení ISO súboru sa zobrazí jeden spustiteľný súbor s názvom:

Súbor „NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe“

Názov súboru je zámerne klamlivý. Prípona „.DOC“ má súbor vyzerať ako neškodný dokument programu Microsoft Word. V skutočnosti ho koncová prípona „.exe“ identifikuje ako spustiteľný program schopný spúšťať kód na počítači obete.

Čo sa stane po otvorení súboru?

Presný typ škodlivého softvéru, ktorý bol doručený prostredníctvom tejto kampane, nebol definitívne identifikovaný. Súbor však môže nainštalovať rôzne nebezpečné hrozby vrátane ransomvéru, bankových trójskych koní, kradcov prihlasovacích údajov, keyloggerov, trójskych koní pre vzdialený prístup (RAT) alebo iných foriem škodlivého softvéru.

Medzi možné následky patria:

• Krádež používateľských mien, hesiel a finančných informácií
• Krádež identity, finančné straty, neoprávnený prístup k systému a šifrovanie údajov

Keďže možnosti škodlivého softvéru zostávajú neznáme, akákoľvek interakcia so spustiteľným súborom by sa mala považovať za vážny bezpečnostný incident.

Varovné signály, ktoré odhaľujú podvod

Napriek presvedčivému vzhľadu správy niekoľko indikátorov naznačuje podvodnú aktivitu. E-mail sa vo veľkej miere spolieha na naliehavosť tým, že stanovuje trojdňovú lehotu na kontrolu dokumentov. Taktiež odkazuje na právny identifikátor podania, aby vytvoril pocit dôležitosti a prinútil príjemcov konať rýchlo bez overenia žiadosti.

Používanie dôveryhodnej značky, ako napríklad DocuSign, je ďalšou bežnou taktikou sociálneho inžinierstva. Kyberzločinci chápu, že používatelia s väčšou pravdepodobnosťou dôverujú známym službám, najmä ak správa vyzerá profesionálne a obsahuje podrobnosti, ako sú overovacie kódy alebo pokyny na podpis.

Čo robiť, ak dostanete tento e-mail

Príjemcovia by sa mali vyhýbať akejkoľvek interakcii so správou. Najbezpečnejším prístupom je okamžite e-mail vymazať a zdržať sa otvárania príloh, klikania na odkazy, sťahovania súborov alebo dodržiavania akýchkoľvek pokynov uvedených v správe.

Jednotlivci, ktorí si už súbor stiahli alebo spustili, by mali čo najskôr odpojiť postihnuté zariadenie od siete a vykonať komplexnú kontrolu pomocou renomovaného antivírusového softvéru alebo softvéru na zabezpečenie koncových bodov. Všetky potenciálne ohrozené heslá by sa mali zmeniť aj z čistého zariadenia, najmä ak mohli byť odhalené citlivé účty.

Ako spamové kampane šíria malvér

Kampaň s tematikou DocuSign je len jedným príkladom širšieho trendu v kyberkriminalite. Škodlivé spamové e-maily zostávajú jednou z najbežnejších metód distribúcie škodlivého softvéru. Útočníci bežne maskujú škodlivý obsah ako faktúry, právne oznámenia, aktualizácie doručenia, upozornenia na účty alebo obchodné dokumenty.

Medzi bežné formáty na prenos škodlivého softvéru patria archívy ZIP a RAR, spustiteľné súbory, dokumenty PDF, súbory balíka Microsoft Office, skripty a formáty obrazov diskov, ako sú súbory ISO a IMG. Niektoré škodlivé súbory začnú proces infikovania hneď po otvorení, zatiaľ čo iné vyžadujú ďalšie akcie používateľa, ako je povolenie makier, extrahovanie archivovaného obsahu alebo spustenie vložených spustiteľných súborov.

Záverečné myšlienky

E-mailový podvod s názvom „DocuSign – dokument právneho oddelenia“ demonštruje, ako kyberzločinci kombinujú vydávanie sa za dôveryhodnú značku, správy s právnou tematikou a umelú naliehavosť, aby nalákali obete k spusteniu škodlivého softvéru. Hoci sa správa môže na prvý pohľad zdať autentická, jej skutočným účelom je infikovať systémy a potenciálne ohroziť citlivé informácie. Opatrný prístup k nevyžiadaným e-mailom, najmä k tým, ktoré vyžadujú okamžitú akciu alebo sťahovanie súborov, zostáva jednou z najúčinnejších obranných opatrení proti takýmto hrozbám.