DocuSign - E-postbedrägeri med dokument från den juridiska avdelningen

Oväntade e-postmeddelanden kan utgöra betydande cybersäkerhetsrisker, särskilt när de skapar en känsla av brådska och verkar komma från betrodda varumärken. Cyberbrottslingar utnyttjar ofta välkända företag för att få bedrägliga meddelanden att se övertygande ut och öka sannolikheten för att mottagarna kommer att interagera med dem. E-postbedrägeriet "DocuSign - Legal Department Document" är ett sådant exempel. Dessa e-postmeddelanden är inte kopplade till DocuSign eller något legitimt företag, organisation eller enhet. Istället är de en del av en skadlig spamkampanj som är utformad för att distribuera skadlig programvara.

En begäran om falskt juridiskt dokument

Cybersäkerhetsforskare har analyserat dessa e-postmeddelanden och identifierat dem som skadlig spam som är avsedda att lura mottagare att ladda ner skadlig programvara. E-postmeddelandena anländer vanligtvis med ämnesraden "Supply Chain Regulatory Filing ID#SCR-392847" och påstår sig komma från DocuSigns juridiska avdelning.

Enligt meddelandet har ett dokument skickats för elektronisk signatur och måste granskas inom tre dagar. För att förstärka illusionen av legitimitet innehåller e-postmeddelandet en tydlig knapp för "Granska dokument" och en "Alternativ signeringsmetod" tillsammans med en säkerhetskod. Dessa element är noggrant utformade för att få begäran att verka autentisk och trovärdig.

Även om DocuSign är en legitim plattform för elektroniska signaturer har den ingen koppling till denna kampanj. Dessutom kommer avsändarens e-postadress från en oberoende tredjepartsdomän snarare än från DocuSign självt.

Det verkliga syftet bakom e-postmeddelandet

Det yttersta målet med bedrägeriet är att övertala mottagarna att ladda ner en skadlig ISO-skivavbildningsfil. Oavsett om offren klickar på den angivna knappen eller följer de alternativa instruktionerna, riktas de mot att få tag på den skadliga filen.

ISO-filer kan monteras direkt av Windows som virtuella enheter, vilket gör dem till attraktiva verktyg för cyberbrottslingar. Angripare använder ofta detta format eftersom det ibland kan kringgå säkerhetsfilter som annars skulle blockera mer uppenbara skadliga bilagor.

När ISO-filen är monterad visas en enda körbar fil med namnet:

'NDA_Avtal_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Filnamnet är avsiktligt vilseledande. Inkluderingen av '.DOC' är utformad för att få filen att se ut som ett ofarligt Microsoft Word-dokument. I verkligheten identifierar den slutliga filändelsen '.exe' den som ett körbart program som kan köra kod på offrets dator.

Vad händer efter att filen har öppnats?

Den exakta skadliga programvaran som levererades genom denna kampanj har inte slutgiltigt identifierats. Filen kan dock installera en mängd olika farliga hot, inklusive ransomware, banktrojaner, autentiseringsstölder, keyloggers, fjärråtkomsttrojaner (RAT) eller andra former av skadlig programvara.

Potentiella konsekvenser inkluderar:

• Stöld av användarnamn, lösenord och finansiell information
• Identitetsstöld, ekonomiska förluster, obehörig systemåtkomst och datakryptering

Eftersom den skadliga programvarans kapacitet förblir okända bör all interaktion med den körbara programvaran behandlas som en allvarlig säkerhetsincident.

Varningstecken som avslöjar bedrägeriet

Trots meddelandets övertygande utseende tyder flera indikationer på bedräglig aktivitet. E-postmeddelandet bygger starkt på brådska genom att införa en tredagarsfrist för dokumentgranskning. Det hänvisar också till en juridisk registreringsidentifierare för att skapa en känsla av vikt och pressa mottagarna att agera snabbt utan att verifiera begäran.

Att använda ett betrott varumärke som DocuSign är en annan vanlig social ingenjörskonsttaktik. Cyberbrottslingar förstår att användare är mer benägna att lita på välbekanta tjänster, särskilt när meddelandet ser professionellt ut och innehåller detaljer som verifieringskoder eller signeringsinstruktioner.

Vad du ska göra om du får det här e-postmeddelandet

Mottagare bör undvika att interagera med meddelandet på något sätt. Det säkraste tillvägagångssättet är att omedelbart radera e-postmeddelandet och avstå från att öppna bilagor, klicka på länkar, ladda ner filer eller följa instruktioner i meddelandet.

Personer som redan har laddat ner eller kört filen bör koppla bort den berörda enheten från nätverk när det är möjligt och utföra en omfattande skanning med ett välrenommerat antivirus- eller endpoint-säkerhetsprogram. Alla potentiellt komprometterade lösenord bör också ändras från en ren enhet, särskilt om känsliga konton kan ha exponerats.

Hur spamkampanjer sprider skadlig programvara

Kampanjen med DocuSign-tema är bara ett exempel på en bredare trend inom cyberbrottslighet. Skadliga spammeddelanden är fortfarande en av de vanligaste metoderna för att sprida skadlig programvara. Angripare döljer rutinmässigt skadligt innehåll som fakturor, juridiska meddelanden, leveransuppdateringar, kontoaviseringar eller affärsdokument.

Vanliga leveransformat för skadlig kod inkluderar ZIP- och RAR-arkiv, körbara filer, PDF-dokument, Microsoft Office-filer, skript och skivavbildningsformat som ISO- och IMG-filer. Vissa skadliga filer startar infektionsprocessen så snart de öppnas, medan andra kräver ytterligare användaråtgärder, till exempel att aktivera makron, extrahera arkiverat innehåll eller starta inbäddade körbara filer.

Slutliga tankar

E-postbedrägeriet "DocuSign - Legal Department Document" visar hur cyberbrottslingar kombinerar varumärkesimitation, juridiskt inriktade meddelanden och artificiell brådska för att locka offer att köra skadlig kod. Meddelandet kan verka autentiskt vid första anblicken, men dess verkliga syfte är att infektera system och potentiellt kompromettera känslig information. Att upprätthålla en försiktig inställning till oönskade e-postmeddelanden, särskilt de som begär omedelbara åtgärder eller filnedladdningar, är fortfarande ett av de mest effektiva försvaren mot sådana hot.