Imagem de Gerd Altmann do Pixabay

Nova campanha imita DocuSign para instalar malware

Uma nova onda de phishing está explorando notificações falsas da DocuSign para instalar malware furtivo em sistemas Windows, utilizando e-mails com branding legítimo e convites para revisar supostos acordos eletrônicos. Ao clicar no link, a vítima é direcionada para uma página que exige um código de acesso antes de exibir o documento, mecanismo que aumenta a credibilidade do golpe e atrapalha sandboxes automatizadas que não conhecem o código correto.

Cadeia de infecção em múltiplos estágios

Por trás da página, scripts escolhem o próximo estágio, geralmente um download que aparenta ser um PDF ou contrato compactado, mas que na prática contém o loader inicial. Pesquisadores da JOEsecurity identificaram o comportamento ao analisar amostras no Joe Sandbox Cloud Basic, onde ficaram evidentes o portão de código de acesso, verificações de tempo e empacotamento adicional, bem como a árvore de processos e chamadas de rede associadas.

Uso de PowerShell ofuscado e carga em memória

Quando a vítima abre o arquivo isca, um script ou macro dispara um comando PowerShell que busca a próxima etapa em um servidor remoto controlado pelos atacantes, com uso intenso de strings longas, variáveis de ambiente e blocos codificados para esconder sua intenção. Um padrão comum na campanha é o uso de powershell -EncodedCommand com janela oculta e ExecutionPolicy Bypass; após a decodificação, o script carrega um componente .NET diretamente em memória, o inicia como filho de um processo confiável, como explorer.exe, e injeta o payload principal nesse hospedeiro.

Persistência leve e necessidade de visibilidade avançada

O malware estabelece persistência leve criando uma chave Run no Registro ou uma tarefa agendada que relança o script com um novo código de acesso, mantendo o controle mesmo após reinicializações. Como a maior parte da atividade ocorre em memória e dentro de processos legítimos, a detecção eficaz depende de logs detalhados de endpoint, monitoramento de uso anômalo de PowerShell e visibilidade de tráfego de rede para identificar comunicações suspeitas iniciadas por processos associados a documentos DocuSign falsos.