DocuSign - Lừa đảo qua email tài liệu của bộ phận pháp lý

Những email bất ngờ có thể gây ra rủi ro an ninh mạng đáng kể, đặc biệt khi chúng tạo cảm giác khẩn cấp và có vẻ như đến từ các thương hiệu đáng tin cậy. Tội phạm mạng thường lợi dụng các công ty nổi tiếng để tạo ra những tin nhắn lừa đảo trông thuyết phục và tăng khả năng người nhận sẽ tương tác với chúng. Chiêu trò lừa đảo qua email "DocuSign - Tài liệu của Bộ phận Pháp lý" là một ví dụ điển hình. Những email này không liên quan đến DocuSign hoặc bất kỳ công ty, tổ chức hay thực thể hợp pháp nào. Thay vào đó, chúng là một phần của chiến dịch spam độc hại được thiết kế để phát tán phần mềm độc hại.

Yêu cầu tài liệu pháp lý giả mạo

Các nhà nghiên cứu an ninh mạng đã phân tích những email này và xác định chúng là thư rác độc hại, nhằm mục đích lừa người nhận tải xuống phần mềm độc hại. Các email này thường có tiêu đề "Supply Chain Regulatory Filing ID#SCR-392847" và tự xưng là đến từ Bộ phận Pháp lý của DocuSign.

Theo nội dung tin nhắn, một tài liệu đã được gửi để ký điện tử và cần được xem xét trong vòng ba ngày. Để tăng thêm vẻ hợp pháp, email này có nút "Xem xét tài liệu" nổi bật và cung cấp "Phương thức ký thay thế" kèm theo mã bảo mật. Những yếu tố này được thiết kế cẩn thận để khiến yêu cầu trông có vẻ xác thực và đáng tin cậy.

Mặc dù DocuSign là một nền tảng chữ ký điện tử hợp pháp, nhưng nó không có liên hệ gì với chiến dịch này. Hơn nữa, địa chỉ email của người gửi đến từ một tên miền bên thứ ba không liên quan chứ không phải từ chính DocuSign.

Mục đích thực sự đằng sau email

Mục tiêu cuối cùng của trò lừa đảo này là thuyết phục người nhận tải xuống một tập tin hình ảnh đĩa ISO độc hại. Cho dù nạn nhân nhấp vào nút được cung cấp hay làm theo hướng dẫn khác, họ đều bị dẫn đến việc tải xuống tập tin nguy hiểm.

Các tệp ISO có thể được Windows gắn trực tiếp như các ổ đĩa ảo, khiến chúng trở thành công cụ hấp dẫn đối với tội phạm mạng. Kẻ tấn công thường sử dụng định dạng này vì đôi khi nó có thể vượt qua các bộ lọc bảo mật vốn sẽ chặn các tệp đính kèm độc hại rõ ràng hơn.

Sau khi tệp ISO được gắn kết, nó sẽ hiển thị một tệp thực thi duy nhất có tên:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Tên tệp được cố tình đặt gây hiểu nhầm. Việc thêm đuôi '.DOC' nhằm mục đích làm cho tệp trông giống như một tài liệu Microsoft Word vô hại. Trên thực tế, phần mở rộng '.exe' cuối cùng cho biết đó là một chương trình thực thi có khả năng chạy mã trên máy tính của nạn nhân.

Điều gì xảy ra sau khi tệp được mở?

Loại phần mềm độc hại cụ thể được phát tán thông qua chiến dịch này vẫn chưa được xác định chắc chắn. Tuy nhiên, tệp tin này có thể cài đặt nhiều mối đe dọa nguy hiểm khác nhau, bao gồm ransomware, trojan ngân hàng, phần mềm đánh cắp thông tin đăng nhập, phần mềm ghi lại thao tác bàn phím, trojan truy cập từ xa (RAT) hoặc các dạng phần mềm độc hại khác.

Các hậu quả tiềm tàng bao gồm:

• Đánh cắp tên người dùng, mật khẩu và thông tin tài chính
• Đánh cắp danh tính, thiệt hại tài chính, truy cập hệ thống trái phép và mã hóa dữ liệu.

Vì khả năng của phần mềm độc hại vẫn chưa được biết rõ, bất kỳ tương tác nào với tệp thực thi này đều nên được coi là một sự cố an ninh nghiêm trọng.

Những dấu hiệu cảnh báo cho thấy đó là một vụ lừa đảo.

Mặc dù nội dung email có vẻ thuyết phục, nhưng một số dấu hiệu cho thấy đây là hoạt động lừa đảo. Email này nhấn mạnh tính cấp bách bằng cách đặt ra thời hạn ba ngày để xem xét tài liệu. Nó cũng đề cập đến một mã số định danh hồ sơ pháp lý để tạo cảm giác quan trọng và gây áp lực buộc người nhận phải hành động nhanh chóng mà không cần xác minh yêu cầu.

Việc sử dụng tên thương hiệu đáng tin cậy như DocuSign là một chiến thuật tấn công phi kỹ thuật phổ biến khác. Tội phạm mạng hiểu rằng người dùng có nhiều khả năng tin tưởng các dịch vụ quen thuộc, đặc biệt khi thông điệp trông chuyên nghiệp và chứa các chi tiết như mã xác minh hoặc hướng dẫn ký kết.

Bạn nên làm gì nếu nhận được email này?

Người nhận nên tránh tương tác với tin nhắn dưới bất kỳ hình thức nào. Cách an toàn nhất là xóa email ngay lập tức và không mở tệp đính kèm, nhấp vào liên kết, tải xuống tệp hoặc làm theo bất kỳ hướng dẫn nào trong tin nhắn.

Những người đã tải xuống hoặc chạy tệp tin này nên ngắt kết nối thiết bị bị ảnh hưởng khỏi mạng càng sớm càng tốt và thực hiện quét toàn diện bằng phần mềm chống virus hoặc bảo mật điểm cuối uy tín. Bất kỳ mật khẩu nào có khả năng bị xâm phạm cũng nên được thay đổi trên một thiết bị sạch, đặc biệt nếu các tài khoản nhạy cảm có thể đã bị lộ.

Các chiến dịch gửi thư rác phát tán phần mềm độc hại như thế nào?

Chiến dịch nhắm vào DocuSign chỉ là một ví dụ về xu hướng tội phạm mạng rộng hơn. Email spam độc hại vẫn là một trong những phương pháp phổ biến nhất để phát tán phần mềm độc hại. Kẻ tấn công thường ngụy trang nội dung độc hại dưới dạng hóa đơn, thông báo pháp lý, cập nhật giao hàng, cảnh báo tài khoản hoặc tài liệu kinh doanh.

Các định dạng phát tán phần mềm độc hại phổ biến bao gồm các tệp lưu trữ ZIP và RAR, các tệp thực thi, tài liệu PDF, tệp Microsoft Office, tập lệnh và các định dạng ảnh đĩa như tệp ISO và IMG. Một số tệp độc hại bắt đầu quá trình lây nhiễm ngay khi được mở, trong khi những tệp khác yêu cầu người dùng thực hiện thêm các thao tác, chẳng hạn như bật macro, giải nén nội dung lưu trữ hoặc khởi chạy các tệp thực thi được nhúng.

Lời kết

Chiêu trò lừa đảo qua email "DocuSign - Tài liệu của Phòng Pháp lý" cho thấy cách tội phạm mạng kết hợp việc giả mạo thương hiệu đáng tin cậy, thông điệp mang tính pháp lý và tạo ra sự khẩn cấp giả tạo để dụ dỗ nạn nhân cài đặt phần mềm độc hại. Mặc dù thoạt nhìn tin nhắn có vẻ xác thực, mục đích thực sự của nó là lây nhiễm vào hệ thống và có khả năng làm lộ thông tin nhạy cảm. Luôn thận trọng đối với các email không mong muốn, đặc biệt là những email yêu cầu hành động ngay lập tức hoặc tải xuống tệp, vẫn là một trong những biện pháp phòng vệ hiệu quả nhất chống lại các mối đe dọa như vậy.