DocuSign - 法律部门文件电子邮件诈骗

意外收到的电子邮件可能构成严重的网络安全风险，尤其当它们营造紧迫感并伪装成来自可信品牌时。网络犯罪分子经常利用知名公司来伪造欺诈邮件，使其看起来更具说服力，从而增加收件人点击邮件的可能性。“DocuSign - 法务部门文件”电子邮件诈骗就是一个例子。这些邮件与 DocuSign 或任何合法公司、组织或实体均无关联。相反，它们是旨在传播恶意软件的恶意垃圾邮件活动的一部分。

伪造法律文件请求

网络安全研究人员分析了这些电子邮件，并确认它们是恶意垃圾邮件，旨在诱骗收件人下载恶意软件。这些电子邮件的主题通常为“供应链监管备案 ID#SCR-392847”，并声称来自 DocuSign 的法务部门。

根据邮件内容，一份文件已发送供电子签名，必须在三天内审核。为了增强邮件的合法性，邮件中醒目地放置了一个“审核文件”按钮，并提供了一个附带安全码的“其他签名方式”。这些元素都经过精心设计，旨在使该请求看起来真实可信。

尽管 DocuSign 是一个合法的电子签名平台，但它与此次活动没有任何关联。此外，发件人的电子邮件地址来自一个无关的第三方域名，而非 DocuSign 本身的域名。

电子邮件背后的真正目的

该骗局的最终目的是诱骗收件人下载恶意 ISO 光盘镜像文件。无论受害者点击提供的按钮还是按照其他指示操作，最终都会被引导获取有害文件。

ISO 文件可以直接被 Windows 系统挂载为虚拟驱动器，这使得它们成为网络犯罪分子的理想工具。攻击者经常使用这种格式，因为它有时可以绕过安全过滤器，而这些过滤器通常会阻止更明显的恶意附件。

ISO 文件挂载后，会显示一个名为“”的可执行文件：

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

文件名具有故意欺骗性。“.DOC”后缀旨在使文件看起来像是一个无害的Microsoft Word文档。实际上，最后的“.exe”扩展名表明它是一个可执行程序，能够在受害者的计算机上运行代码。

文件打开后会发生什么？

此次攻击活动中传播的具体恶意软件尚未最终确定。但是，该文件可能安装多种危险威胁，包括勒索软件、银行木马、凭证窃取程序、键盘记录器、远程访问木马（RAT）或其他形式的恶意软件。

潜在后果包括：

• 用户名、密码和财务信息被盗
• 身份盗窃、经济损失、未经授权的系统访问和数据加密

由于该恶意软件的功能仍然未知，因此任何与该可执行文件的交互都应被视为严重的安全事件。

揭露骗局的警告信号

尽管这封邮件看似可信，但多项迹象表明其存在欺诈行为。邮件极力营造紧迫感，要求在三天内完成文件审核。此外，邮件中还提及法律文件标识符，以强化重要性，迫使收件人在未核实请求的情况下迅速采取行动。

利用 DocuSign 等知名品牌是另一种常见的社会工程攻击手段。网络犯罪分子深谙用户更容易信任熟悉的服务，尤其是在信息看起来专业且包含验证码或签名说明等详细信息的情况下。

如果您收到此邮件该怎么办？

收件人应避免以任何方式与邮件互动。最安全的做法是立即删除邮件，切勿打开附件、点击链接、下载文件或执行邮件中的任何指示。

已下载或运行该文件的用户应尽可能断开受影响设备的网络连接，并使用信誉良好的防病毒软件或终端安全软件进行全面扫描。任何可能已被泄露的密码也应在干净的设备上进行更改，尤其是在敏感账户可能已被暴露的情况下。

垃圾邮件活动如何传播恶意软件

以DocuSign为主题的攻击活动只是网络犯罪更广泛趋势的一个缩影。恶意垃圾邮件仍然是传播恶意软件最常见的方式之一。攻击者通常会将有害内容伪装成发票、法律通知、发货更新、账户提醒或商业文件。

常见的恶意软件传播格式包括 ZIP 和 RAR 压缩文件、可执行文件、PDF 文档、Microsoft Office 文件、脚本以及 ISO 和 IMG 等光盘映像格式文件。有些恶意文件在打开后立即开始感染过程，而另一些则需要用户执行其他操作，例如启用宏、提取压缩内容或启动嵌入式可执行文件。

最后想说的话

“DocuSign - 法务部门文件”电子邮件诈骗案例表明，网络犯罪分子如何利用可信品牌的冒充、法律主题的信息以及人为制造的紧迫感来诱骗受害者执行恶意软件。虽然该邮件乍看之下可能真实可信，但其真正目的是感染系统并可能泄露敏感信息。对未经请求的电子邮件保持谨慎态度，尤其是那些要求立即采取行动或下载文件的邮件，仍然是抵御此类威胁最有效的方法之一。