Ataque com a marca DocuSign ignora medidas de segurança e atinge mais de 10.000
Um ataque de representação da marca DocuSign foi observado contornando soluções nativas de nuvem e segurança de e-mail em linha e visando mais de 10.000 usuários finais em várias organizações.
As descobertas vêm de pesquisadores de segurança da Armorblox, que descreveram a nova ameaça em um comunicado compartilhado com a Infosecurity por e-mail.
“À primeira vista, o e-mail parece ser uma comunicação legítima da DocuSign, com o nome do remetente sendo manipulado pelo invasor, lendo Docusign ”, diz o artigo técnico.
“No entanto, o endereço de e-mail e o domínio não nos mostram nenhuma associação com a empresa – difícil de ver em dispositivos móveis de onde os usuários finais frequentemente abrem comunicações por e-mail.”
Além disso, a Armorblox explicou que o ataque por e-mail falsificou uma ação comum do fluxo de trabalho de uma instância legítima do DocuSign. Normalmente, um e-mail é enviado ao signatário após a conclusão de um documento. O e-mail falsificado neste ataque tinha o objetivo de instilar um sentimento semelhante de confiança nas vítimas.
“Os invasores usaram um domínio válido para enviar este e-mail malicioso. Após uma análise mais aprofundada da equipe de pesquisa da Armorblox, o domínio do remetente […], que falhou nas verificações de alinhamento DKIM, recebeu uma pontuação de reputação confiável para este domínio estabelecido.”
Ao clicar em links maliciosos no e-mail de phishing, as vítimas seriam redirecionadas para uma página de destino falsa projetada para exfiltrar suas credenciais de usuário do Proofpoint.
A Armorblox disse que o ataque ignorou as soluções de proteção de email do Microsoft Office 365 e da Proofpoint, mas foi interrompido pelo software de prevenção de ataques de email da empresa.
A Armorblox disse que foi capaz de identificar a ameaça usando o entendimento de linguagem natural (NLU) para compreender o conteúdo e o contexto dos e-mails maliciosos e sinalizá-los como tal.
Em outras notícias de phishing, um relatório recente de pesquisadores de segurança da Check Point sugeriu que o Yahoo substituiu a DHL como a marca mais imitada no último trimestre de 2022, com e-mails de marcas falsas sendo responsáveis por 20% de todas as tentativas de phishing registradas na natureza.