Um ataque de representação da marca DocuSign foi observado contornando soluções nativas de nuvem e segurança de e-mail visando mais de 10 mil usuários finais em várias organizações. As descobertas vêm de pesquisadores de segurança da Armorblox, que descreveram a nova ameaça em um comunicado compartilhado com a Infosecurity por e-mail.
“À primeira vista, o e-mail parece ser uma comunicação legítima da DocuSign, com o nome do remetente sendo manipulado pelo invasor”, diz o artigo técnico. “No entanto, o endereço de e-mail e o domínio não mostram nenhuma associação com a empresa — difícil de ver em dispositivos móveis de onde os usuários finais frequentemente abrem comunicações por e-mail.”
Além disso, a Armorblox explicou que o ataque por e-mail falsificou uma ação comum do fluxo de trabalho de uma instância legítima do DocuSign. Normalmente, um e-mail é enviado ao signatário após a conclusão de um documento. O e-mail falsificado nesse ataque tinha o objetivo de instilar um sentimento semelhante de confiança nas vítimas.
“Os invasores usaram um domínio válido para enviar o e-mail malicioso. Após uma análise mais aprofundada da equipe de pesquisa da Armorblox, o domínio do remetente […], que falhou nas verificações de alinhamento DKIM [método de autenticação de e-mail], recebeu uma pontuação de reputação confiável para esse domínio estabelecido.”
Veja isso
Snapchat e Amex são usados em ataques de phishing ao Office 365
Documentos contaminados são disfarçados com layout da DocuSign
Ao clicar em links maliciosos no e-mail de phishing, as vítimas eram redirecionadas para uma página de destino falsa projetada para exfiltrar as credenciais de usuário do Proofpoint. A Armorblox disse que o ataque contornou as soluções de proteção de e-mail do Microsoft Office 365 e da Proofpoint, mas foi interrompido pelo software de prevenção de ataques de e-mail da empresa.
A Armorblox disse ainda que foi capaz de identificar a ameaça usando o entendimento de linguagem natural (NLU) para compreender o conteúdo e o contexto dos e-mails maliciosos e sinalizá-los como tal.