Campanha de phishing abusa DocuSign para enviar faturas falsas

Ao contrário do phishing tradicional, que recorre a e-mails falsificados que imitam marcas com o objetivo de recolher credenciais ou instalar malware, a campanha, descoberta pela empresa de segurança Wallarm, recorre ao serviço de assinatura eletrónica DocuSign para distribuir conteúdo malicioso.

Os cibercriminosos estão a criar contas DocuSign verdadeiras e pagas, o que lhes permite alterar os modelos e aceder às API do serviço. De seguida, os agentes de ameaças criam um modelo que imita os pedidos de assinatura eletrónica de documentos de marcas conhecidas, como é o caso de empresas de software e enviam para vítimas desprevenidas.

As mensagens podem aparecer sobre a forma de faturas falsas com informações sobre preços ou instruções de transferência direta. Estas faturas seguem um padrão de pedido de assinaturas que autorizariam o pagamento diretamente para as contas dos cibercriminosos.

“Se os utilizadores assinarem este documento por via eletrónica, o atacante pode utilizar o documento assinado para solicitar o pagamento à empresa fora da DocuSign ou enviar o documento assinado através da DocuSign para o departamento financeiro”, avisa a Wallarm.

As faturas vêm diretamente da plataforma da DocuSign e como não contêm links ou anexos prejudiciais, o que significa que os filtros de spam e de phishing as consideram legítimas.

Muitos dos utilizadores têm denunciado as faturas falsas, com as queixas a aumentar nos últimos cinco meses. Para além de se fazerem passar por marcas populares, os cibercriminosos estão a infiltrar-se nos canais de comunicação verdadeiros para executar os seus ataques.

Segundo a Wallarm, a duração da campanha indica que os atacantes estão a utilizar um processo automatizado, provavelmente a abusar das API verdadeiras que a DocuSign oferece para automatização.