Hack Alerta

Onda de phishing usa falsos DocuSign para distribuir malware em Windows

Por Redação Hack Alerta Publicado em 08/01/2026 14:04 Cyber ataques Tempo de leitura: 3 min

Campanha de phishing se passando por DocuSign direciona vítimas a páginas com código de acesso e lures que carregam loaders PowerShell codificados. O malware descriptografa o payload em memória, injeta em processos confiáveis e cria persistência via Run/task agendada.

Uma nova campanha de phishing está se passando por notificações do DocuSign para induzir usuários a baixar iscas que terminam por carregar malware furtivo em máquinas Windows. A análise publicada por pesquisadores da JOEsecurity detalha um fluxo de múltiplas etapas com controles que dificultam detecção automática.

Resumo inicial

Os e-mails replicam a marca DocuSign e contêm links que direcionam a páginas que solicitam um código de acesso antes de exibir o documento. Esse mecanismo bloqueia muitos sandboxes automáticos e aumenta a confiança das vítimas.

Sequência de infecção

De acordo com a análise, após o clique o usuário é levado a um download que aparenta ser um PDF ou um arquivo ZIP. Ao abrir o arquivo, macros/scripts iniciam um comando PowerShell com payload codificado que busca a próxima etapa em servidores controlados pelos atacantes. O comando comumente visto:

powershell -EncodedCommand $enc -WindowStyle Hidden -ExecutionPolicy Bypass

O loader faz checagens temporais e comportamentais, somente descriptografando o payload final em memória dentro de processos confiáveis (por exemplo, explorer.exe), o que reduz artefatos em disco e dificulta a detecção por EDRs baseados em assinaturas.

Técnicas de persistência e ofuscação

Após a execução, o malware carrega um componente .NET em memória e injeta o payload no processo hospedeiro. Para persistência, os autores adicionam entradas Run na chave de registro ou criam tarefas agendadas que reexecuem o carregador usando um novo código de acesso.

Evidências e limites

JOEsecurity observou a campanha em Joe Sandbox Cloud Basic; contudo, a matéria não lista um conjunto público completo de IoCs ou domínios usados. Tampouco especifica alvos setoriais por nome, falando em alcance que vai de pequenas empresas a grandes corporações globais.

Mitigações recomendadas

  • Treinamento focado em identificar falsificações de serviços de assinatura eletrônica e verificar remetentes/URLs reais.
  • Bloqueio de macros por padrão e restrição de execução de PowerShell com políticas de grupo; registrar e alertar execuções de PowerShell com parâmetros codificados.
  • Monitorar processos filhos de exploradores e injeções de memória; reforçar telemetria EDR/EDR‑X e logs de endpoints para detectar carregamentos de .NET em memória.
  • Habilitar checagens de integridade para tarefas agendadas e chaves Run; revisar políticas de recuperação de credenciais e rotinas de resposta a incidentes.

Conclusão

A combinação de engenharia social convincente, controles de acesso falsos (código) e execução integral em memória torna a campanha relevante para equipes de defesa. Organizações devem bloquear vetores de macro, fortalecer políticas PowerShell e aumentar visibilidade de processos em memória para reduzir riscos.

Baseado em publicação original de Cyber Security News
Tags: #phishing #docusign #malware #powershell #joesecurity #injection #memory #edr #persistencia
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar