Uma nova onda de phishing está explorando notificações falsas da DocuSign para instalar malware furtivo em sistemas Windows, utilizando e-mails com branding legítimo e convites para revisar supostos acordos eletrônicos. Ao clicar no link, a vítima é direcionada para uma página que exige um código de acesso antes de exibir o documento, mecanismo que aumenta a credibilidade do golpe e atrapalha sandboxes automatizadas que não conhecem o código correto.
Cadeia de infecção em múltiplos estágios
Por trás da página, scripts escolhem o próximo estágio, geralmente um download que aparenta ser um PDF ou contrato compactado, mas que na prática contém o loader inicial. Pesquisadores da JOEsecurity identificaram o comportamento ao analisar amostras no Joe Sandbox Cloud Basic, onde ficaram evidentes o portão de código de acesso, verificações de tempo e empacotamento adicional, bem como a árvore de processos e chamadas de rede associadas.
Uso de PowerShell ofuscado e carga em memória
Quando a vítima abre o arquivo isca, um script ou macro dispara um comando PowerShell que busca a próxima etapa em um servidor remoto controlado pelos atacantes, com uso intenso de strings longas, variáveis de ambiente e blocos codificados para esconder sua intenção. Um padrão comum na campanha é o uso de powershell -EncodedCommand com janela oculta e ExecutionPolicy Bypass; após a decodificação, o script carrega um componente .NET diretamente em memória, o inicia como filho de um processo confiável, como explorer.exe, e injeta o payload principal nesse hospedeiro.
Persistência leve e necessidade de visibilidade avançada
O malware estabelece persistência leve criando uma chave Run no Registro ou uma tarefa agendada que relança o script com um novo código de acesso, mantendo o controle mesmo após reinicializações. Como a maior parte da atividade ocorre em memória e dentro de processos legítimos, a detecção eficaz depende de logs detalhados de endpoint, monitoramento de uso anômalo de PowerShell e visibilidade de tráfego de rede para identificar comunicações suspeitas iniciadas por processos associados a documentos DocuSign falsos.






