Hackers estão explorando a API Envelopes do DocuSign para criar e distribuir em massa faturas falsas que aparentam ser legítimas, imitando marcas conhecidas, como Norton e PayPal.
Ao usar um serviço autêntico, os invasores conseguem driblar as proteções de segurança de e-mail, já que as mensagens são enviadas de um domínio real da DocuSign, o docusign.net.
O objetivo é fazer com que os alvos assinem eletronicamente esses documentos, permitindo aos atacantes autorizar pagamentos sem o envolvimento dos departamentos de cobrança das empresas.
Fatura falsa do Norton criada no DocuSign
Fonte: Wallarm
DocuSign é uma plataforma de assinatura eletrônica que possibilita a assinatura, envio e gerenciamento digital de documentos.
A Envelopes API é uma parte essencial da API REST de eSignature da DocuSign, que permite aos desenvolvedores criar, enviar e gerenciar contêineres de documentos (envelopes) para definir o processo de assinatura.
Essa API destina-se a ajudar clientes a automatizar o envio de documentos que exigem assinatura, rastrear seu status e recuperá-los quando assinados.
Segundo pesquisadores de segurança da Wallarm, esses hackers estão usando contas legítimas e pagas da DocuSign para abusar da API, enviando faturas falsas que imitam a aparência e o estilo de marcas de software respeitadas.
Esses invasores têm acesso completo aos modelos da plataforma, o que lhes permite criar documentos que simulam fielmente a identidade visual e o layout das marcas falsificadas.
Solicitação maliciosa enviada pelos agentes de ameaças
Fonte: Wallarm
Em seguida, utilizam a função de API 'Envelopes: create' para gerar e enviar um alto volume de faturas fraudulentas a potenciais vítimas.
A Wallarm explica que os valores cobrados nas faturas são mantidos em uma faixa realista para reforçar a credibilidade da solicitação de assinatura.
“Se os usuários assinarem o documento, o hacker pode utilizá-lo para solicitar pagamento da organização fora do DocuSign ou enviar o documento assinado ao departamento financeiro para efetivação do pagamento,” explica a Wallarm.
“Outros métodos incluem faturas falsas com itens variados, geralmente seguindo o mesmo padrão de obter assinaturas para autorizar pagamentos para as contas dos hackers.”
A Wallarm destaca que esse tipo de abuso, já reportado à DocuSign, vem ocorrendo há algum tempo, com usuários relatando essas campanhas diversas vezes nos fóruns da comunidade da plataforma.
“De repente, comecei a receber de 3 a 5 e-mails de phishing por semana do domínio docusign.net, e nenhum dos endereços padrão de denúncia, como abuse@ ou admin@, funciona,” escreveu um usuário nos fóruns da DocuSign.
“Eles rejeitam meu e-mail, e não consigo encontrar informações de denúncia na página de FAQ. Acho que minha única opção é bloquear o domínio?”
Esses ataques parecem ser automatizados, em vez de tentativas manuais em baixa escala, o que indica um abuso em larga escala que a plataforma dificilmente deixaria de perceber.
Infelizmente, os endpoints de API são difíceis de proteger quando os hackers criam contas comerciais que concedem acesso a esses recursos.
Exemplos recentes de abuso de APIs incluem a verificação de milhões de números de telefone de usuários do Authy, a coleta de informações de 49 milhões de clientes da Dell e a vinculação de endereços de e-mail a 15 milhões de contas do Trello.
Via - BC
Comments