Recentemente, equipe de pesquisa da ESET identificou ao menos três sites falsos que se passam pela DocuSign para distribuírem malwares. Os sites são provavelmente acessados por meio de mensagens enviadas por e-mail que contém um link para o download de um documento. Ao clicar, a vítima abre essas páginas falsas que se fazem passar pelo site da DocuSign, as quais iniciam automaticamente o download de um arquivo malicioso no dispositivo da vítima.
Não surpreende que cibercriminosos tenham passado a explorar a popularidade da DocuSign, uma das plataformas de assinatura eletrônica mais utilizadas no mundo com mais de 1.8 milhões de organizações que utilizam esta ferramenta. Segundo dados da telemetria da ESET, a DocuSign tem sido a marca mais utilizada em campanhas de phishing detectadas no Brasil em 2026 como isca para atrair potenciais vítimas.
A seguir, explicamos como essa ameaça funciona e quais medidas podem ser adotadas para se proteger.
Como o golpe acontece
Não foi possível confirmar o vetor de distribuição inicial para todos os sites analisados. No entanto, um caso semelhante relatado por um usuário no LinkedIn mostra um e-mail em português que redireciona para uma página falsa com a mesma estética dos sites analisados e baixa um arquivo malicioso. Portanto, inferimos que esses e-mails são distribuídos por meio de phishing, imitando a comunicação de empresas terceirizadas.
A imagem a seguir mostra um exemplo de um e-mail relatado por um usuário do LinkedIn, que distribuía um site falso da DocuSign com a mesma aparência e funcionalidade. Dado que a DocuSign é um serviço usado por milhares de empresas em todo o mundo para assinatura de contratos, esse tipo de campanha geralmente tem como alvo empresas e seus funcionários.
Após clicar no link contido em e-mails como o que exemplificamos na Figura 1, o usuário é direcionado para uma página falsa. Mesmo que não tenha qualquer relação com a construtora (no exemplo acima) ou empresa mencionada na mensagem, a curiosidade pode ser um fator determinante para que a pessoa acesse o conteúdo e acabe se tornando vítima do golpe.
Após clicar no link, através de uma análise mais atenta podemos notar que o endereço utilizado pelos criminosos imita o domínio oficial da plataforma DocuSign na tentativa de transmitir credibilidade e enganar o usuário, como a ser visto na figura 2.
Análises de sites falsos da DocuSign que baixam malware
Analisamos três sites diferentes que compartilham as mesmas funcionalidades e que têm sido utilizados recentemente em campanhas direcionadas a usuários de língua portuguesa.
Compartilhamos a seguir um terceiro exemplo de um site que faz referência ao mesmo tipo de URL utilizadas nos sites fraudulentos que utilizam o nome do serviço DocuSign:
https://docusigns.blob.core[.]windows.net/docusigns/Docusign_ta45Aasd5XpZbs[.]html
Nos três casos, ao abrir as páginas falsas, é feito o download de um arquivo com a extensão .vbs, iniciado automaticamente pelo próprio site malicioso, sem a necessidade de clicar em qualquer botão ou realizar qualquer outra ação. Os nomes dos arquivos .vbs também estão em português.
A análise revela que os arquivos .vbs funcionam como downloader. A execução do arquivo desencadeia uma série de etapas, incluindo o download da carga útil final de um domínio externo. No entanto, no momento da análise, o domínio de onde a carga útil foi baixada estava off-line.
O que a ameaça baixada pode fazer?
Embora, no momento da análise desta campanha, os domínios responsáveis pela hospedagem da carga maliciosa final estivessem fora de serviço, impossibilitando o acesso ao payload, foi possível observar que o arquivo com extensão .vbs desencadeava uma série de ações maliciosas. Entre elas estavam a execução de comandos no PowerShell, a criação de mecanismos de persistência no sistema comprometido e o download de arquivos adicionais a partir de servidores com os quais estabelecia comunicação.
Em campanhas desse tipo, a segunda fase da infecção geralmente envolve malwares capazes de roubar credenciais de acesso e monitorar as atividades realizadas no dispositivo, como infostealers e trojans de acesso remoto (RATs).
Por esse motivo, mesmo que o arquivo baixado inicialmente pareça inofensivo, sua execução pode representar o primeiro passo para uma infecção mais grave, capaz de comprometer a segurança do dispositivo e a privacidade dos dados da vítima.
O que fazer caso a ameaça seja baixada?
Caso a vítima tenha baixado esta ameaça por engano, o mais importante é isolar o dispositivo imediatamente, desconectando da internet e de redes locais para impedir o download de outros malwares.
O recomendado é não executar o arquivo, mas caso tenha feito por engano, apague-o e execute uma varredura completa com uma solução confiável. A ferramenta gratuita ESET Online Scanner permite uma verificação rápida e uma remoção eficaz contra malwares.
Por fim, acompanhe as contas do usuário a partir de um dispositivo não infectado em busca de atividades incomuns. Trate credenciais como expostas, troque senhas críticas. Se houver contas corporativas, informe o time de segurança para suspender acessos a partir da máquina infectada.
Como se proteger desse tipo de golpe
Para evitar cair neste tipo de golpe, sugerimos algumas dicas básicas:
- Confira o remetente para ver se o endereço realmente parece confiável;
- Passe o mouse sobre os links antes de clicar, para verificar se eles levam ao site oficial;
- Desconfie de mensagens urgentes, golpistas usam pressão para fazer você clicar sem pensar.
- Utilize uma solução de segurança em seus dispositivos, como as oferecidas pela ESET, que detecta e bloqueia esses tipos de ameaças.
Os golpes de personificação de marca da Docusign podem variar em qualidade e em gatilhos para enganar as vítimas, porém a grande maioria começa com um e-mail de phishing. Caso esteja desconfiando de um e-mail recebido que aparenta ser da Docusign, siga também estes passos recomendados pelo próprio serviço para verificar a sua legitimidade.
Crescimento de golpes que utilizam marcas conhecidas
Golpes baseados em personificação de marcas continuam sendo uma das estratégias mais utilizadas por criminosos para aumentar a eficácia de campanhas de phishing. Plataformas amplamente utilizadas no ambiente corporativo, como serviços de assinatura eletrônica e produtividade, tornaram-se alvos frequentes devido ao alto grau de confiança dos usuários.
Segundo levantamento da CERT.br, mais de 2.500 sites falsos associados a campanhas de phishing e fraudes digitais já foram identificados no Brasil apenas neste ano. A engenharia social continua sendo uma das ferramentas mais eficientes do cibercrime porque explora comportamento humano e confiança digital. Por isso, conscientização e educação continuam sendo fundamentais para reduzir riscos.




