Sites falsos da DocuSign são usados para distribuir malware no Brasil
Páginas fraudulentas identificadas pela ESET simulam a plataforma de assinatura eletrônica para induzir usuários ao download automático de arquivos maliciosos; marca é atualmente a mais explorada em campanhas de phishing detectadas pela ESET no Brasil
Pesquisadores da ESET, empresa líder em detecção proativa de ameaças, identificaram uma série de sites falsos que se passam pela DocuSign para distribuir malware a usuários brasileiros. As páginas fraudulentas simulam a identidade visual da plataforma de assinatura eletrônica e iniciam automaticamente o download de arquivos maliciosos nos dispositivos das vítimas.
Segundo dados da telemetria da ESET, a DocuSign tem sido a marca mais utilizada em campanhas de phishing detectadas no Brasil em 2026 como elemento de engenharia social para atrair potenciais vítimas. Os pesquisadores identificaram ao menos três sites diferentes em português que compartilhavam características semelhantes, incluindo layout, funcionamento e mecanismos de download automático de arquivos maliciosos com extensão .vbs.
“A popularidade de plataformas amplamente utilizadas no ambiente corporativo transforma essas marcas em ferramentas extremamente eficientes para campanhas de fraude. Os criminosos exploram justamente a confiança que o usuário deposita nesses serviços para reduzir a percepção de risco”, afirma Jonathan Ramos, pesquisador de segurança da ESET no Brasil.
Como os sites fraudulentos funcionam
Embora não tenha sido possível confirmar o vetor inicial de distribuição para todos os casos analisados, a ESET identificou indícios de que os sites possam estar sendo disseminados por meio de campanhas de phishing. Um dos exemplos analisados pelos pesquisadores teve origem em um relato publicado por um usuário no LinkedIn, que descrevia o recebimento de uma mensagem com link para uma página falsa semelhante às identificadas pela empresa.
Exemplo de e-mail com mensagem inicial do golpe e página de redirecionamento reportada por um usuário no Linkedin
As páginas utilizam elementos gráficos semelhantes aos da plataforma legítima, incluindo logotipos, cores, estrutura visual e linguagem corporativa. O objetivo é transmitir credibilidade e reduzir a desconfiança da vítima.
Além disso, os pesquisadores observaram que os endereços utilizados pelos criminosos imitavam o domínio oficial da DocuSign na tentativa de parecer legítimos.
“Muitos golpes atuais não dependem mais apenas de erros gramaticais ou mensagens mal elaboradas. Os criminosos investem cada vez mais em campanhas visualmente sofisticadas, capazes de reproduzir com precisão comunicações corporativas reais”, explica o pesquisador.
URL utilizada pelos criminosos imitava elementos do domínio oficial da DocuSign para aumentar a credibilidade do golpe
Download automático aumenta o risco da ameaça
Nos casos analisados pela ESET, ao acessar as páginas falsas, o usuário não precisava clicar em botões adicionais nem realizar qualquer outra ação: o download do arquivo malicioso era iniciado automaticamente pelo próprio site.
Os arquivos baixados possuíam extensão .vbs e funcionavam como downloader, um tipo de ameaça utilizado para estabelecer comunicação com servidores externos e baixar arquivos adicionais no dispositivo comprometido.
A análise da ESET revelou que os scripts executavam comandos via PowerShell, criavam mecanismos de persistência no sistema infectado e tentavam estabelecer comunicação com domínios externos para download de novas cargas maliciosas. No momento da análise, entretanto, os servidores responsáveis pela hospedagem da carga útil final estavam offline.
Segundo os pesquisadores, campanhas desse tipo frequentemente utilizam malwares voltados ao roubo de credenciais, monitoramento de atividades e acesso remoto ao dispositivo comprometido.
“No contexto corporativo, uma única infecção pode representar a porta de entrada para ataques mais amplos. Por isso, campanhas que exploram serviços populares e confiáveis continuam sendo altamente eficazes para criminosos”, alerta Ramos.
Análise do arquivo .vbs realizada por ferramentas de segurança identificou comportamento associado a downloader
O risco dos arquivos VBS
Os arquivos analisados pela ESET utilizavam scripts VBS para executar comandos e iniciar a comunicação com servidores externos. Embora esse tipo de arquivo possa ser utilizado legitimamente em tarefas administrativas do Windows, ele também é frequentemente explorado por criminosos em campanhas de malware devido à facilidade de execução e automação.
Segundo a ESET, usuários muitas vezes não reconhecem o potencial risco associado a esse tipo de arquivo, especialmente quando o download ocorre em páginas que aparentam legitimidade.
“Os atacantes procuram formatos e abordagens que reduzam a percepção de risco da vítima. Quando o golpe utiliza uma marca conhecida e uma interface visual convincente, a chance de interação aumenta significativamente”, comenta o especialista em segurança.
O que fazer caso o arquivo seja baixado
Caso o arquivo tenha sido baixado por engano, especialistas da ESET recomendam isolar imediatamente o dispositivo, desconectando-o da internet e de redes locais para impedir a comunicação com servidores externos e o possível download de arquivos adicionais.
A recomendação é não executar o arquivo. Caso ele tenha sido aberto, o ideal é removê-lo e realizar uma varredura completa com uma solução de segurança confiável. Também é importante monitorar contas utilizadas no dispositivo em busca de atividades suspeitas e alterar credenciais consideradas críticas.
Em ambientes corporativos, a orientação é comunicar imediatamente a equipe de segurança ou TI para adoção de medidas de contenção e investigação.
Como se proteger desse tipo de golpe
A ESET recomenda atenção redobrada a páginas e mensagens relacionadas a assinaturas eletrônicas, contratos e documentos urgentes. Entre as principais medidas de prevenção estão verificar cuidadosamente o endereço do remetente, analisar links antes de clicar e desconfiar de mensagens que criem senso de urgência.
Os especialistas também recomendam utilizar soluções de segurança capazes de identificar comportamentos suspeitos e bloquear arquivos maliciosos antes da execução.
Além disso, usuários que desconfiem de solicitações relacionadas à DocuSign podem acessar diretamente o portal oficial da plataforma para validar a legitimidade dos documentos recebidos.
Crescimento de golpes que utilizam marcas conhecidas
Golpes baseados em personificação de marcas continuam sendo uma das estratégias mais utilizadas por criminosos para aumentar a eficácia de campanhas de phishing. Plataformas amplamente utilizadas no ambiente corporativo, como serviços de assinatura eletrônica e produtividade, tornaram-se alvos frequentes devido ao alto grau de confiança dos usuários.
Segundo levantamento da CERT.br, mais de 2.500 sites falsos associados a campanhas de phishing e fraudes digitais já foram identificados no Brasil apenas neste ano.
“A engenharia social continua sendo uma das ferramentas mais eficientes do cibercrime porque explora comportamento humano e confiança digital. Por isso, conscientização e educação continuam sendo fundamentais para reduzir riscos”, finaliza Ramos.
Clique e fale com representante oficial Sophos
Veja também:
- Edge Cloud sob medida
- Cibercriminosos exploram expectativa em torno de IPO da SpaceX
- MiniPlasma é usado para contornar a segurança de endpoints
- Sophos realiza o Partner Experience Brasil 2026
- Nota à Imprensa – Esclarecimento sobre informação falsa de suposto vazamento
- Vulnerabilidade crítica que permite contornar autenticação em VPNs
- Cibersegurança invisível: condição imperativa para o varejo omnichannel
- O CISO e a IA Generativa
- Qual é o risco do desenvolvimento de software com IA?
- Golpes com clone de Voz mais sofesticados
- SecOps unificado
- Cibercriminosos usam técnica dos anos 60
Be the first to comment