DocuSign - Шахрайство з електронними листами щодо документів юридичного відділу

Несподівані електронні листи можуть становити значні ризики для кібербезпеки, особливо коли вони створюють відчуття терміновості та виглядають так, ніби надходять від перевірених брендів. Кіберзлочинці часто використовують відомі компанії, щоб шахрайські повідомлення виглядали переконливо та збільшили ймовірність того, що одержувачі взаємодіятимуть з ними. Шахрайство з електронною поштою «DocuSign – документ юридичного відділу» є одним із таких прикладів. Ці електронні листи не пов’язані з DocuSign чи будь-якою законною компанією, організацією чи організацією. Натомість вони є частиною шкідливої спам-кампанії, розробленої для розповсюдження шкідливого програмного забезпечення.

Запит на підроблений юридичний документ

Дослідники з кібербезпеки проаналізували ці електронні листи та ідентифікували їх як спам, метою якого є обманом змусити одержувачів завантажити шкідливе програмне забезпечення. Електронні листи зазвичай надходять із темою «Supply Chain Regulatory Filing ID#SCR-392847» та нібито надходять від юридичного відділу DocuSign.

Згідно з повідомленням, документ надіслано на електронний підпис і має бути перевірений протягом трьох днів. Щоб підсилити ілюзію легітимності, електронний лист містить помітну кнопку «Переглянути документ» та пропонує «Альтернативний метод підписання» разом із кодом безпеки. Ці елементи ретельно розроблені, щоб запит виглядав автентичним та надійним.

Хоча DocuSign є легітимною платформою електронного підпису, вона не має жодного стосунку до цієї кампанії. Крім того, адреса електронної пошти відправника походить із непов’язаного стороннього домену, а не від самої DocuSign.

Справжня мета електронної пошти

Кінцева мета шахрайства — переконати одержувачів завантажити шкідливий файл образу ISO-диска. Незалежно від того, чи жертви натискають надану кнопку, чи виконують альтернативні інструкції, їх спрямовують до отримання шкідливого файлу.

ISO-файли можуть бути монтовані безпосередньо Windows як віртуальні диски, що робить їх привабливими інструментами для кіберзлочинців. Зловмисники часто використовують цей формат, оскільки він іноді може обійти фільтри безпеки, які в іншому випадку блокували б більш очевидні шкідливі вкладення.

Після монтування ISO-файлу відображається один виконуваний файл з назвою:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Ім'я файлу навмисно вводить в оману. Розширення «.DOC» створено для того, щоб файл виглядав як нешкідливий документ Microsoft Word. Насправді, остаточне розширення «.exe» ідентифікує його як виконуваний файл програми, здатної виконувати код на комп'ютері жертви.

Що відбувається після відкриття файлу?

Точне шкідливе програмне забезпечення, що постачається через цю кампанію, остаточно не ідентифіковане. Однак файл може встановлювати різноманітні небезпечні загрози, включаючи програми-вимагачі, банківські трояни, програми для крадіжки облікових даних, кейлогери, трояни віддаленого доступу (RAT) або інші форми шкідливого програмного забезпечення.

Потенційні наслідки включають:

• Крадіжка імен користувачів, паролів та фінансової інформації
• Крадіжка особистих даних, фінансові втрати, несанкціонований доступ до системи та шифрування даних

Оскільки можливості шкідливого програмного забезпечення залишаються невідомими, будь-яку взаємодію з виконуваним файлом слід розглядати як серйозний інцидент безпеки.

Попереджувальні ознаки, що виявляють шахрайство

Незважаючи на переконливий вигляд повідомлення, кілька ознак свідчать про шахрайську діяльність. Електронний лист значною мірою покладається на терміновість, встановлюючи триденний термін для розгляду документів. У ньому також посилається на юридичний ідентифікатор подання, щоб створити відчуття важливості та змусити одержувачів діяти швидко, не перевіряючи запит.

Використання надійного бренду, такого як DocuSign, є ще однією поширеною тактикою соціальної інженерії. Кіберзлочинці розуміють, що користувачі частіше довіряють знайомим сервісам, особливо коли повідомлення виглядає професійно та містить такі деталі, як коди підтвердження або інструкції з підписання.

Що робити, якщо ви отримали цей електронний лист

Одержувачам слід уникати будь-якої взаємодії з повідомленням. Найбезпечніший підхід — негайно видалити електронний лист і утриматися від відкриття вкладень, натискання посилань, завантаження файлів або виконання будь-яких інструкцій, що містяться в повідомленні.

Користувачам, які вже завантажили або виконали файл, слід відключити уражений пристрій від мережі, коли це можливо, та виконати ретельне сканування за допомогою надійного антивірусного програмного забезпечення або програмного забезпечення для захисту кінцевих точок. Будь-які потенційно скомпрометовані паролі також слід змінити на чистому пристрої, особливо якщо конфіденційні облікові записи могли бути розкриті.

Як спам-кампанії поширюють шкідливе програмне забезпечення

Кампанія на тему DocuSign — лише один із прикладів ширшої тенденції кіберзлочинності. Шкідливі спам-листи залишаються одним із найпоширеніших методів розповсюдження шкідливого програмного забезпечення. Зловмисники регулярно маскують шкідливий контент під рахунки-фактури, юридичні повідомлення, оновлення щодо доставки, сповіщення облікових записів або ділові документи.

До поширених форматів доставки шкідливого програмного забезпечення належать архіви ZIP та RAR, виконувані файли, PDF-документи, файли Microsoft Office, скрипти та формати образів дисків, такі як файли ISO та IMG. Деякі шкідливі файли починають процес зараження одразу після відкриття, тоді як інші вимагають додаткових дій користувача, таких як увімкнення макросів, вилучення архівного вмісту або запуск вбудованих виконуваних файлів.

Заключні думки

Шахрайство з електронною поштою «DocuSign – документ юридичного відділу» демонструє, як кіберзлочинці поєднують видавання себе за надійний бренд, повідомлення юридичної тематики та штучну наполегливість, щоб спонукати жертв до запуску шкідливого програмного забезпечення. Хоча повідомлення може здаватися справжнім на перший погляд, його справжня мета – заразити системи та потенційно поставити під загрозу конфіденційну інформацію. Обережне ставлення до небажаних електронних листів, особливо тих, що вимагають негайних дій або завантаження файлів, залишається одним із найефективніших засобів захисту від таких загроз.