DocuSign – Betrugsversuch per E-Mail mit Dokumenten der Rechtsabteilung

Unerwartete E-Mails können erhebliche Cybersicherheitsrisiken bergen, insbesondere wenn sie Dringlichkeit vortäuschen und scheinbar von vertrauenswürdigen Marken stammen. Cyberkriminelle nutzen häufig bekannte Unternehmen aus, um betrügerische Nachrichten überzeugend wirken zu lassen und die Wahrscheinlichkeit einer Interaktion zu erhöhen. Die E-Mail-Betrugsmasche mit dem angeblichen Dokument der Rechtsabteilung von DocuSign ist ein Beispiel dafür. Diese E-Mails stehen in keiner Verbindung zu DocuSign oder einem anderen seriösen Unternehmen, einer Organisation oder einer sonstigen Einrichtung. Sie sind vielmehr Teil einer bösartigen Spam-Kampagne zur Verbreitung von Schadsoftware.

Gefälschte Anfrage nach einem juristischen Dokument

Cybersicherheitsexperten haben diese E-Mails analysiert und als Spam-Nachrichten identifiziert, die Empfänger zum Herunterladen schädlicher Software verleiten sollen. Die E-Mails tragen typischerweise den Betreff „Supply Chain Regulatory Filing ID#SCR-392847“ und geben vor, von der Rechtsabteilung von DocuSign zu stammen.

Laut der Nachricht wurde ein Dokument zur elektronischen Signatur versandt, das innerhalb von drei Tagen geprüft werden muss. Um den Eindruck von Legitimität zu verstärken, enthält die E-Mail einen prominent platzierten Button „Dokument prüfen“ und bietet eine alternative Signaturmethode mit Sicherheitscode an. Diese Elemente sind sorgfältig gestaltet, um die Anfrage authentisch und vertrauenswürdig erscheinen zu lassen.

DocuSign ist zwar eine legitime Plattform für elektronische Signaturen, steht aber in keinerlei Verbindung zu dieser Kampagne. Darüber hinaus stammt die E-Mail-Adresse des Absenders von einer unabhängigen Drittanbieter-Domain und nicht von DocuSign selbst.

Der wahre Zweck der E-Mail

Das Hauptziel des Betrugs ist es, die Empfänger zum Herunterladen einer schädlichen ISO-Image-Datei zu verleiten. Unabhängig davon, ob die Opfer auf den bereitgestellten Button klicken oder den alternativen Anweisungen folgen, werden sie dazu verleitet, die schädliche Datei herunterzuladen.

ISO-Dateien lassen sich unter Windows direkt als virtuelle Laufwerke einbinden und sind daher für Cyberkriminelle attraktiv. Angreifer nutzen dieses Format häufig, da es Sicherheitsfilter umgehen kann, die ansonsten offensichtlich schädliche Anhänge blockieren würden.

Sobald die ISO-Datei eingebunden ist, wird eine einzelne ausführbare Datei mit folgendem Namen angezeigt:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Der Dateiname ist absichtlich irreführend. Die Endung „.DOC“ soll die Datei als harmloses Microsoft-Word-Dokument erscheinen lassen. Tatsächlich kennzeichnet die abschließende Dateiendung „.exe“ sie als ausführbares Programm, das Code auf dem Computer des Opfers ausführen kann.

Was geschieht, nachdem die Datei geöffnet wurde?

Die genaue Art der im Rahmen dieser Kampagne verbreiteten Schadsoftware konnte noch nicht abschließend identifiziert werden. Die Datei kann jedoch eine Vielzahl gefährlicher Bedrohungen installieren, darunter Ransomware, Banking-Trojaner, Anmeldeinformationsdiebstahl, Keylogger, Remote-Access-Trojaner (RATs) oder andere Formen von Schadsoftware.

Mögliche Folgen sind:

• Diebstahl von Benutzernamen, Passwörtern und Finanzinformationen
• Identitätsdiebstahl, finanzielle Verluste, unbefugter Systemzugriff und Datenverschlüsselung

Da die Fähigkeiten der Schadsoftware noch unbekannt sind, sollte jede Interaktion mit der ausführbaren Datei als schwerwiegender Sicherheitsvorfall behandelt werden.

Warnzeichen, die den Betrug aufdecken

Trotz des überzeugenden Erscheinungsbildes der Nachricht deuten mehrere Indizien auf betrügerische Aktivitäten hin. Die E-Mail erzeugt Dringlichkeit durch eine dreitägige Frist für die Dokumentenprüfung. Zudem wird eine Aktenzeichennummer verwendet, um Wichtigkeit vorzutäuschen und die Empfänger unter Druck zu setzen, schnell zu handeln, ohne die Anfrage zu überprüfen.

Die Verwendung eines bekannten Markennamens wie DocuSign ist eine weitere gängige Social-Engineering-Taktik. Cyberkriminelle wissen, dass Nutzer vertrauten Diensten eher vertrauen, insbesondere wenn die Nachricht professionell wirkt und Details wie Verifizierungscodes oder Anweisungen zum Signieren enthält.

Was zu tun ist, wenn Sie diese E-Mail erhalten

Empfänger sollten jegliche Interaktion mit der Nachricht vermeiden. Am sichersten ist es, die E-Mail sofort zu löschen und keine Anhänge zu öffnen, Links anzuklicken, Dateien herunterzuladen oder Anweisungen in der Nachricht zu befolgen.

Personen, die die Datei bereits heruntergeladen oder ausgeführt haben, sollten das betroffene Gerät nach Möglichkeit vom Netzwerk trennen und einen umfassenden Scan mit einer seriösen Antiviren- oder Endpoint-Security-Software durchführen. Alle potenziell kompromittierten Passwörter sollten von einem sauberen Gerät aus geändert werden, insbesondere wenn sensible Konten gefährdet sein könnten.

Wie Spam-Kampagnen Schadsoftware verbreiten

Die DocuSign-Kampagne ist nur ein Beispiel für einen umfassenderen Trend in der Cyberkriminalität. Schad-Spam-E-Mails zählen weiterhin zu den häufigsten Methoden zur Verbreitung von Malware. Angreifer tarnen schädliche Inhalte routinemäßig als Rechnungen, Rechtshinweise, Lieferbenachrichtigungen, Kontowarnungen oder Geschäftsdokumente.

Gängige Verbreitungsformate für Schadsoftware sind ZIP- und RAR-Archive, ausführbare Dateien, PDF-Dokumente, Microsoft Office-Dateien, Skripte und Datenträgerabbilder wie ISO- und IMG-Dateien. Manche Schadsoftware-Dateien starten den Infektionsprozess direkt nach dem Öffnen, während andere zusätzliche Benutzeraktionen erfordern, wie das Aktivieren von Makros, das Extrahieren archivierter Inhalte oder das Starten eingebetteter ausführbarer Dateien.

Schlussbetrachtung

Die E-Mail-Betrugsmasche „DocuSign – Dokument der Rechtsabteilung“ verdeutlicht, wie Cyberkriminelle vertrauenswürdige Marken imitieren, juristische Texte verwenden und künstliche Dringlichkeit erzeugen, um Opfer zur Ausführung von Schadsoftware zu verleiten. Obwohl die Nachricht auf den ersten Blick authentisch wirken mag, dient sie in Wirklichkeit dazu, Systeme zu infizieren und potenziell sensible Daten zu gefährden. Vorsicht beim Umgang mit unerwünschten E-Mails, insbesondere solchen, die zu sofortigem Handeln oder Dateidownloads auffordern, ist nach wie vor einer der wirksamsten Schutzmechanismen gegen solche Bedrohungen.