Falsa notifica DocuSign: credenziali trasmesse a bot Telegram

Phishing DocuSign

Il CERT-AGID ha recentemente rilevato una campagna di phishing a tema DocuSign, una nota piattaforma per la firma elettronica e la gestione dei documenti. Queste email ingannevoli contengono allegati HTML progettati per rubare le credenziali degli utenti, consentendo ai malintenzionati di accedere ai loro account e alle informazioni sensibili.

Pagina di Phishing DocuSign

Una volta aperto l’allegato HTML, il browser visualizza una pagina contenente un modulo di login che replica l’aspetto di quello di DocuSign. L’obiettivo, come si può dedurre dal codice JavaScript incluso nel file HTML, è quello di inviare le credenziali della vittima a un bot Telegram.

Codice JavaScript progettato per inviare le credenziali al bot Telegram

Perché DocuSign è un obiettivo attraente per i criminali informatici?

I criminali possono accedere a documenti riservati, contratti e informazioni personali, utilizzando queste informazioni per perpetrare frodi o creare contratti falsi. Inoltre, le credenziali possono essere vendute nel mercato nero, dove altri malintenzionati possono sfruttarle per scopi illeciti, aumentando ulteriormente il rischio per le vittime.

Azioni di contrasto

Il CERT-AGID ha comunicato, attraverso il Flusso IoC, l’unico indicatore utile: l’URL del bot Telegram. Gli hash del file HTML variano di volta in volta, poiché vengono personalizzati con l’indirizzo email del destinatario.

Raccomandazioni

È importante rimanere vigili e informati sulle minacce di phishing per tutelare i propri dati. Prestare attenzione a comunicazioni sospette e adottare semplici precauzioni può fare la differenza nella salvaguardia delle informazioni personali e professionali.

Fonte: cert-agid.gov.it