DocuSign - Arnaque par e-mail concernant des documents du service juridique

Les courriels inattendus peuvent présenter des risques importants en matière de cybersécurité, surtout lorsqu'ils créent un sentiment d'urgence et semblent provenir de marques de confiance. Les cybercriminels exploitent fréquemment la notoriété d'entreprises pour rendre leurs messages frauduleux plus crédibles et inciter les destinataires à interagir avec eux. L'escroquerie par courriel « DocuSign - Document du service juridique » en est un exemple. Ces courriels ne sont associés ni à DocuSign ni à aucune entreprise, organisation ou entité légitime. Ils font partie d'une campagne de spam malveillante visant à diffuser des logiciels malveillants.

Demande de faux document juridique

Des chercheurs en cybersécurité ont analysé ces courriels et les ont identifiés comme des messages de type « malspam » destinés à inciter les destinataires à télécharger des logiciels malveillants. Ces courriels ont généralement pour objet « Supply Chain Regulatory Filing ID#SCR-392847 » et prétendent provenir du service juridique de DocuSign.

D'après le message, un document a été envoyé pour signature électronique et doit être examiné sous trois jours. Afin de renforcer l'illusion de légitimité, le courriel comporte un bouton « Examiner le document » bien visible et propose une « Méthode de signature alternative » accompagnée d'un code de sécurité. Ces éléments sont soigneusement conçus pour rendre la demande authentique et digne de confiance.

Bien que DocuSign soit une plateforme de signature électronique légitime, elle n'a aucun lien avec cette campagne. De plus, l'adresse électronique de l'expéditeur provient d'un domaine tiers sans rapport avec cette affaire, et non de DocuSign.

Le véritable objectif de cet e-mail

L'objectif ultime de cette escroquerie est d'inciter les victimes à télécharger un fichier image disque ISO malveillant. Qu'elles cliquent sur le bouton proposé ou suivent les instructions alternatives, elles sont dirigées vers le téléchargement du fichier dangereux.

Les fichiers ISO peuvent être montés directement par Windows comme des lecteurs virtuels, ce qui en fait des outils de choix pour les cybercriminels. Ces derniers utilisent souvent ce format car il permet parfois de contourner les filtres de sécurité qui bloqueraient autrement des pièces jointes malveillantes plus évidentes.

Une fois le fichier ISO monté, il révèle un unique fichier exécutable nommé :

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Le nom du fichier est volontairement trompeur. L'extension « .DOC » vise à faire croire qu'il s'agit d'un document Microsoft Word inoffensif. En réalité, l'extension « .exe » indique qu'il s'agit d'un programme exécutable capable d'exécuter du code sur l'ordinateur de la victime.

Que se passe-t-il après l’ouverture du fichier ?

Le logiciel malveillant exact diffusé dans le cadre de cette campagne n'a pas été formellement identifié. Cependant, le fichier peut installer diverses menaces dangereuses, notamment des rançongiciels, des chevaux de Troie bancaires, des voleurs d'identifiants, des enregistreurs de frappe, des chevaux de Troie d'accès à distance (RAT) ou d'autres types de logiciels malveillants.

Les conséquences potentielles incluent :

• Vol de noms d'utilisateur, de mots de passe et d'informations financières
• Vol d'identité, pertes financières, accès non autorisé au système et chiffrement des données

Les capacités du logiciel malveillant restant inconnues, toute interaction avec le fichier exécutable doit être considérée comme un incident de sécurité grave.

Signes avant-coureurs d’une escroquerie

Malgré l'apparence convaincante du message, plusieurs indices laissent penser à une tentative de fraude. Le courriel joue fortement sur l'urgence en imposant un délai de trois jours pour l'examen des documents. Il fait également référence à un identifiant de dossier juridique afin de donner un sentiment d'importance et d'inciter les destinataires à agir rapidement sans vérifier la demande.

L'utilisation d'une marque de confiance comme DocuSign est une autre tactique courante d'ingénierie sociale. Les cybercriminels savent que les utilisateurs sont plus enclins à faire confiance aux services qu'ils connaissent, surtout lorsque le message paraît professionnel et contient des détails tels que des codes de vérification ou des instructions de signature.

Que faire si vous recevez ce courriel

Les destinataires doivent éviter toute interaction avec ce message. La solution la plus sûre consiste à supprimer immédiatement le courriel et à s'abstenir d'ouvrir les pièces jointes, de cliquer sur les liens, de télécharger les fichiers ou de suivre les instructions qu'il contient.

Les personnes ayant déjà téléchargé ou exécuté le fichier doivent déconnecter l'appareil concerné des réseaux, si possible, et effectuer une analyse complète à l'aide d'un antivirus ou d'un logiciel de sécurité des terminaux réputé. Il est également recommandé de modifier tout mot de passe potentiellement compromis depuis un appareil sain, notamment si des comptes sensibles ont pu être exposés.

Comment les campagnes de spam propagent les logiciels malveillants

La campagne utilisant DocuSign n'est qu'un exemple parmi d'autres d'une tendance plus générale en matière de cybercriminalité. Les courriels indésirables malveillants demeurent l'une des méthodes les plus courantes de diffusion de logiciels malveillants. Les attaquants dissimulent régulièrement des contenus malveillants sous forme de factures, de mises en demeure, de notifications de livraison, d'alertes de compte ou de documents commerciaux.

Les formats de diffusion de logiciels malveillants les plus courants incluent les archives ZIP et RAR, les fichiers exécutables, les documents PDF, les fichiers Microsoft Office, les scripts et les formats d'image disque tels que les fichiers ISO et IMG. Certains fichiers malveillants lancent le processus d'infection dès leur ouverture, tandis que d'autres nécessitent des actions supplémentaires de l'utilisateur, comme l'activation de macros, l'extraction de contenu archivé ou le lancement de fichiers exécutables intégrés.

Réflexions finales

L’escroquerie par courriel « DocuSign – Document du service juridique » illustre comment les cybercriminels combinent usurpation d’identité de marque de confiance, messages à connotation juridique et urgence artificielle pour inciter leurs victimes à exécuter un logiciel malveillant. Bien que le message puisse paraître authentique au premier abord, son véritable objectif est d’infecter les systèmes et de potentiellement compromettre des informations sensibles. La prudence reste de mise face aux courriels non sollicités, en particulier ceux demandant une action immédiate ou le téléchargement de fichiers, et constitue l’une des défenses les plus efficaces contre ce type de menaces.