DocuSign - Превара са документима правног одељења путем имејла
Неочекивани имејлови могу представљати значајне ризике по сајбер безбедност, посебно када стварају осећај хитности и изгледају као да потичу од поузданих брендова. Сајбер криминалци често искоришћавају познате компаније како би лажне поруке изгледале убедљиво и повећали вероватноћу да ће примаоци комуницирати са њима. Превара имејлом „DocuSign - Legal Department Document“ је један такав пример. Ови имејлови нису повезани са DocuSign-ом или било којом легитимном компанијом, организацијом или ентитетом. Уместо тога, они су део злонамерне кампање спама осмишљене за дистрибуцију малвера.
Преглед садржаја
Захтев за лажни правни документ
Истраживачи сајбер безбедности анализирали су ове имејлове и идентификовали их као малверзалну пошту са циљем да преваре примаоце да преузму злонамерни софтвер. Имејлови обично стижу са темом „Supply Chain Regulatory Filing ID#SCR-392847“ и тврде да потичу из правног одељења компаније DocuSign.
Према поруци, документ је послат на електронски потпис и мора бити прегледан у року од три дана. Да би се појачала илузија легитимности, имејл садржи истакнуто дугме „Прегледај документ“ и пружа „Алтернативни метод потписивања“ праћен безбедносним кодом. Ови елементи су пажљиво израђени како би захтев изгледао аутентично и поуздано.
Иако је DocuSign легитимна платформа за електронски потпис, она нема никакве везе са овом кампањом. Штавише, имејл адреса пошиљаоца потиче са неповезаног домена треће стране, а не са самог DocuSign-а.
Права сврха иза имејла
Крајњи циљ преваре је да се примаоци наговоре да преузму злонамерну ISO датотеку слике диска. Без обзира да ли жртве кликну на дато дугме или прате алтернативна упутства, усмерене су ка добијању штетне датотеке.
Windows може директно да монтира ISO датотеке као виртуелне дискове, што их чини атрактивним алатима за сајбер криминалце. Нападачи често користе овај формат јер понекад може да заобиђе безбедносне филтере који би иначе блокирали очигледније злонамерне прилоге.
Када се ISO датотека монтира, открива се једна извршна датотека под називом:
„NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe“
Назив датотеке је намерно обмањујући. Укључивање „.DOC“ је осмишљено да би датотека изгледала као безопасни Microsoft Word документ. У стварности, последња екстензија „.exe“ је идентификује као извршни програм способан за покретање кода на рачунару жртве.
Шта се дешава након отварања датотеке?
Тачан злонамерни софтвер који се испоручио кроз ову кампању није коначно идентификован. Међутим, датотека може инсталирати разне опасне претње, укључујући ransomware, банкарске тројанце, крадљивце акредитива, кејлогере, тројанце за удаљени приступ (RAT) или друге облике злонамерног софтвера.
Потенцијалне последице укључују:
- Крађа корисничких имена, лозинки и финансијских информација
- Крађа идентитета, финансијски губици, неовлашћени приступ систему и шифровање података
Пошто могућности злонамерног софтвера остају непознате, свака интеракција са извршном датотеком треба да се третира као озбиљан безбедносни инцидент.
Упозоравајући знаци који откривају превару
Упркос убедљивом изгледу поруке, неколико индикатора указује на преварну активност. Имејл се у великој мери ослања на хитност наметањем тродневног рока за преглед документа. Такође се позива на правни идентификатор подношења како би се створио осећај важности и извршио притисак на примаоце да брзо реагују без провере захтева.
Коришћење поузданог бренда као што је DocuSign је још једна уобичајена тактика социјалног инжењеринга. Сајбер криминалци разумеју да су корисници склонији поверењу познатим услугама, посебно када порука делује професионално и садржи детаље као што су верификациони кодови или упутства за потписивање.
Шта да радите ако примите ову е-пошту
Примаоци треба да избегавају било какву интеракцију са поруком. Најбезбеднији приступ је да одмах обришу имејл и да се уздрже од отварања прилога, кликтања на линкове, преузимања датотека или праћења било каквих упутстава садржаних у поруци.
Појединци који су већ преузели или покренули датотеку требало би да искључе погођени уређај са мреже када је то могуће и да изврше свеобухватно скенирање користећи реномирани антивирусни софтвер или софтвер за безбедност крајњих тачака. Све потенцијално угрожене лозинке такође треба променити са чистог уређаја, посебно ако су осетљиви налози можда били изложени опасности.
Како кампање спама шире злонамерни софтвер
Кампања са темом DocuSign-а је само један пример ширег тренда у сајбер криминалу. Злонамерне нежељене е-поруке остају једна од најчешћих метода за дистрибуцију малвера. Нападачи рутински прикривају штетни садржај као фактуре, правна обавештења, ажурирања испоруке, упозорења о налозима или пословне документе.
Уобичајени формати за испоруку злонамерног софтвера укључују ZIP и RAR архиве, извршне датотеке, PDF документе, Microsoft Office датотеке, скрипте и формате слика дискова као што су ISO и IMG датотеке. Неке злонамерне датотеке започињу процес инфекције чим се отворе, док друге захтевају додатне радње корисника, као што су омогућавање макроа, издвајање архивираног садржаја или покретање уграђених извршних датотека.
Завршне мисли
Превара путем имејла „DocuSign - Legal Department Document“ показује како сајбер криминалци комбинују лажно представљање поузданог бренда, поруке са правном тематиком и вештачку хитност како би намамили жртве да покрену злонамерни софтвер. Иако порука на први поглед може деловати аутентично, њена права сврха је да зарази системе и потенцијално угрози осетљиве информације. Одржавање опрезног приступа према непожељним имејловима, посебно онима који захтевају хитну акцију или преузимање датотека, остаје једна од најефикаснијих одбрана од таквих претњи.
System Messages
The following system messages may be associated with DocuSign - Превара са документима правног одељења путем имејла:
Subject: Supply Chain Regulatory Filing ID#SCR-392847 |