DocuSign - Goljufija z dokumenti pravnega oddelka prek e-pošte

Nepričakovana e-poštna sporočila lahko predstavljajo znatna tveganja za kibernetsko varnost, zlasti kadar ustvarjajo občutek nujnosti in se zdi, da izvirajo od zaupanja vrednih blagovnih znamk. Kibernetski kriminalci pogosto izkoriščajo znana podjetja, da goljufiva sporočila izgledajo prepričljivo in povečajo verjetnost, da bodo prejemniki komunicirali z njimi. Eden takšnih primerov je e-poštna prevara »DocuSign – dokument pravnega oddelka«. Ta e-poštna sporočila niso povezana z DocuSign ali katerim koli drugim legitimnim podjetjem, organizacijo ali subjektom. Namesto tega so del zlonamerne kampanje neželene pošte, namenjene distribuciji zlonamerne programske opreme.

Zahteva za ponarejen pravni dokument

Raziskovalci kibernetske varnosti so analizirali ta e-poštna sporočila in jih prepoznali kot neželena sporočila, namenjena temu, da prejemnike zavedejo v prenos zlonamerne programske opreme. E-poštna sporočila običajno prispejo z zadevo »Supply Chain Regulatory Filing ID#SCR-392847« in trdijo, da izvirajo iz pravnega oddelka DocuSign.

Glede na sporočilo je bil dokument poslan v elektronski podpis in ga je treba pregledati v treh dneh. Za okrepitev iluzije legitimnosti e-poštno sporočilo vsebuje viden gumb »Pregled dokumenta« in ponuja »Alternativni način podpisovanja« skupaj z varnostno kodo. Ti elementi so skrbno oblikovani, da je zahteva videti pristna in zaupanja vredna.

Čeprav je DocuSign legitimna platforma za elektronski podpis, nima nobene povezave s to kampanjo. Poleg tega e-poštni naslov pošiljatelja izvira iz nepovezane domene tretje osebe in ne iz samega DocuSigna.

Pravi namen e-pošte

Končni cilj prevare je prepričati prejemnike, da prenesejo zlonamerno datoteko slike diska ISO. Ne glede na to, ali žrtve kliknejo na priloženi gumb ali sledijo alternativnim navodilom, so usmerjene k pridobitvi škodljive datoteke.

Datoteke ISO lahko Windows neposredno namesti kot virtualne pogone, zaradi česar so privlačna orodja za kibernetske kriminalce. Napadalci pogosto uporabljajo to obliko zapisa, ker lahko včasih zaobide varnostne filtre, ki bi sicer blokirali bolj očitne zlonamerne priloge.

Ko je datoteka ISO priklopljena, se prikaže ena sama izvedljiva datoteka z imenom:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Ime datoteke je namerno zavajajoče. Vključitev končnice ».DOC« je zasnovana tako, da datoteka izgleda kot neškodljiv dokument programa Microsoft Word. V resnici pa končna končnica ».exe« datoteko identificira kot izvedljiv program, ki lahko izvaja kodo na računalniku žrtve.

Kaj se zgodi po odprtju datoteke?

Natančna zlonamerna programska oprema, ki se je širila prek te kampanje, še ni bila dokončno identificirana. Vendar pa lahko datoteka namesti različne nevarne grožnje, vključno z izsiljevalsko programsko opremo, bančnimi trojanci, kradljivci poverilnic, programi za beleženje tipk, trojanci za oddaljeni dostop (RAT) ali drugimi oblikami zlonamerne programske opreme.

Možne posledice vključujejo:

• Kraja uporabniških imen, gesel in finančnih podatkov
• Kraja identitete, finančne izgube, nepooblaščen dostop do sistema in šifriranje podatkov

Ker zmogljivosti zlonamerne programske opreme ostajajo neznane, je treba vsako interakcijo z izvedljivo datoteko obravnavati kot resen varnostni incident.

Opozorilni znaki, ki razkrivajo prevaro

Kljub prepričljivemu videzu sporočila več kazalnikov kaže na goljufivo dejavnost. E-poštno sporočilo se močno zanaša na nujnost, saj določa tridnevni rok za pregled dokumentov. Prav tako se sklicuje na pravni identifikator vložitve, da ustvari občutek pomembnosti in prisili prejemnike, da hitro ukrepajo, ne da bi preverili zahtevo.

Uporaba zaupanja vredne blagovne znamke, kot je DocuSign, je še ena pogosta taktika socialnega inženiringa. Kibernetski kriminalci razumejo, da uporabniki bolj zaupajo znanim storitvam, zlasti kadar je sporočilo videti profesionalno in vsebuje podrobnosti, kot so potrditvene kode ali navodila za podpis.

Kaj storiti, če prejmete to e-poštno sporočilo

Prejemniki naj se izogibajo kakršni koli interakciji s sporočilom. Najvarnejši pristop je, da e-pošto takoj izbrišejo in se vzdržijo odpiranja prilog, klikanja povezav, prenašanja datotek ali sledenja navodilom v sporočilu.

Posamezniki, ki so datoteko že prenesli ali zagnali, naj po možnosti odklopijo omrežno povezavo na prizadeti napravi in jo temeljito pregledajo z ugledno protivirusno programsko opremo ali programsko opremo za zaščito končnih točk. Vsa morebitno ogrožena gesla je treba spremeniti tudi na čisti napravi, zlasti če so bili morda izpostavljeni občutljivi računi.

Kako neželene kampanje širijo zlonamerno programsko opremo

Kampanja s tematiko DocuSign je le en primer širšega trenda kibernetske kriminalitete. Zlonamerna neželena e-poštna sporočila ostajajo ena najpogostejših metod za distribucijo zlonamerne programske opreme. Napadalci rutinsko prikrivajo škodljivo vsebino kot račune, pravna obvestila, posodobitve o dostavi, opozorila o računih ali poslovne dokumente.

Med pogoste oblike zapisa za dostavo zlonamerne programske opreme spadajo arhivi ZIP in RAR, izvedljive datoteke, dokumenti PDF, datoteke Microsoft Officea, skripti in oblike zapisa slik diskov, kot sta datoteki ISO in IMG. Nekatere zlonamerne datoteke začnejo postopek okužbe takoj, ko jih odprejo, druge pa zahtevajo dodatna dejanja uporabnika, kot so omogočanje makrov, ekstrahiranje arhivirane vsebine ali zagon vdelanih izvedljivih datotek.

Zaključne misli

E-poštna prevara »DocuSign – dokument pravnega oddelka« prikazuje, kako kibernetski kriminalci združujejo lažno predstavljanje zaupanja vredne blagovne znamke, sporočila s pravno tematiko in umetno nujnost, da bi žrtve zvabili v izvajanje zlonamerne programske opreme. Čeprav se sporočilo na prvi pogled morda zdi pristno, je njegov pravi namen okužba sistemov in morebitno ogrožanje občutljivih podatkov. Previden pristop do neželenih e-poštnih sporočil, zlasti tistih, ki zahtevajo takojšnje ukrepanje ali prenos datotek, ostaja ena najučinkovitejših obramb pred takimi grožnjami.