Recentemente, equipe de pesquisa da ESET identificou ao menos três sites falsos que se passam pela DocuSign para distribuírem malwares. Os sites são provavelmente acessados por meio de mensagens enviadas por e-mail que contém um link para o download de um documento. Ao clicar, a vítima abre essas páginas falsas que se fazem passar pelo site da DocuSign, as quais iniciam automaticamente o download de um arquivo malicioso no dispositivo da vítima.

Não surpreende que cibercriminosos tenham passado a explorar a popularidade da DocuSign, uma das plataformas de assinatura eletrônica mais utilizadas no mundo com mais de 1.8 milhões de organizações que utilizam esta ferramenta. Segundo dados da telemetria da ESET, a DocuSign tem sido a marca mais utilizada em campanhas de phishing detectadas no Brasil em 2026 como isca para atrair potenciais vítimas.

A seguir, explicamos como essa ameaça funciona e quais medidas podem ser adotadas para se proteger.

Como o golpe acontece

Não foi possível confirmar o vetor de distribuição inicial para todos os sites analisados. No entanto, um caso semelhante relatado por um usuário no LinkedIn mostra um e-mail em português que redireciona para uma página falsa com a mesma estética dos sites analisados e baixa um arquivo malicioso. Portanto, inferimos que esses e-mails são distribuídos por meio de phishing, imitando a comunicação de empresas terceirizadas.

A imagem a seguir mostra um exemplo de um e-mail relatado por um usuário do LinkedIn, que distribuía um site falso da DocuSign com a mesma aparência e funcionalidade. Dado que a DocuSign é um serviço usado por milhares de empresas em todo o mundo para assinatura de contratos, esse tipo de campanha geralmente tem como alvo empresas e seus funcionários.

Scam_DocuSign_Imagem1
Figura 1. Exemplo de e-mail com mensagem inicial do golpe e página de redirecionamento reportada por um usuário no Linkedin. Fonte:Linkedin.

Após clicar no link contido em e-mails como o que exemplificamos na Figura 1, o usuário é direcionado para uma página falsa. Mesmo que não tenha qualquer relação com a construtora (no exemplo acima) ou empresa mencionada na mensagem, a curiosidade pode ser um fator determinante para que a pessoa acesse o conteúdo e acabe se tornando vítima do golpe.

Após clicar no link, através de uma análise mais atenta podemos notar que o endereço utilizado pelos criminosos imita o domínio oficial da plataforma DocuSign na tentativa de transmitir credibilidade e enganar o usuário, como a ser visto na figura 2.

Análises de sites falsos da DocuSign que baixam malware

Analisamos três sites diferentes que compartilham as mesmas funcionalidades e que têm sido utilizados recentemente em campanhas direcionadas a usuários de língua portuguesa.

Scam_DocuSign_Imagem2
Figura 2. Página falsa analisada pela ESET que utiliza a mesma estética do site da Figura 1. A URL do site falso “docusignreviw” simula o site oficial da DocuSign.
Scam_DocuSign_Imagem3
Figura 3. O segundo site analisado também está em português e utiliza o mesmo design dos anteriores. Nesse caso, a URL falsa também inclui o nome DocuSign. (“docusign1”).

Compartilhamos a seguir um terceiro exemplo de um site que faz referência ao mesmo tipo de URL utilizadas nos sites fraudulentos que utilizam o nome do serviço DocuSign:

https://docusigns.blob.core[.]windows.net/docusigns/Docusign_ta45Aasd5XpZbs[.]html

Nos três casos, ao abrir as páginas falsas, é feito o download de um arquivo com a extensão .vbs, iniciado automaticamente pelo próprio site malicioso, sem a necessidade de clicar em qualquer botão ou realizar qualquer outra ação. Os nomes dos arquivos .vbs também estão em português.

Scam_DocuSign_Imagem4
Figura 4. Exemplos de arquivos VBS baixados automaticamente ao abrir sites falsos.

A análise revela que os arquivos .vbs funcionam como downloader. A execução do arquivo desencadeia uma série de etapas, incluindo o download da carga útil final de um domínio externo. No entanto, no momento da análise, o domínio de onde a carga útil foi baixada estava off-line.

Scam_DocuSign_Imagem5
Figura 5. Análise através do VirusTotal, indicando que o arquivo se trata de um downloader.

O que a ameaça baixada pode fazer?

Embora, no momento da análise desta campanha, os domínios responsáveis pela hospedagem da carga maliciosa final estivessem fora de serviço, impossibilitando o acesso ao payload, foi possível observar que o arquivo com extensão .vbs desencadeava uma série de ações maliciosas. Entre elas estavam a execução de comandos no PowerShell, a criação de mecanismos de persistência no sistema comprometido e o download de arquivos adicionais a partir de servidores com os quais estabelecia comunicação.

Em campanhas desse tipo, a segunda fase da infecção geralmente envolve malwares capazes de roubar credenciais de acesso e monitorar as atividades realizadas no dispositivo, como infostealers e trojans de acesso remoto (RATs).

Por esse motivo, mesmo que o arquivo baixado inicialmente pareça inofensivo, sua execução pode representar o primeiro passo para uma infecção mais grave, capaz de comprometer a segurança do dispositivo e a privacidade dos dados da vítima.

O que fazer caso a ameaça seja baixada?

Caso a vítima tenha baixado esta ameaça por engano, o mais importante é isolar o dispositivo imediatamente, desconectando da internet e de redes locais para impedir o download de outros malwares.

O recomendado é não executar o arquivo, mas caso tenha feito por engano, apague-o e execute uma varredura completa com uma solução confiável. A ferramenta gratuita ESET Online Scanner permite uma verificação rápida e uma remoção eficaz contra malwares.

Por fim, acompanhe as contas do usuário a partir de um dispositivo não infectado em busca de atividades incomuns. Trate credenciais como expostas, troque senhas críticas. Se houver contas corporativas, informe o time de segurança para suspender acessos a partir da máquina infectada.

Como se proteger desse tipo de golpe

Para evitar cair neste tipo de golpe, sugerimos algumas dicas básicas:

  • Confira o remetente para ver se o endereço realmente parece confiável;
  • Passe o mouse sobre os links antes de clicar, para verificar se eles levam ao site oficial;
  • Desconfie de mensagens urgentes, golpistas usam pressão para fazer você clicar sem pensar.
  • Utilize uma solução de segurança em seus dispositivos, como as oferecidas pela ESET, que detecta e bloqueia esses tipos de ameaças.

Os golpes de personificação de marca da Docusign podem variar em qualidade e em gatilhos para enganar as vítimas, porém a grande maioria começa com um e-mail de phishing. Caso esteja desconfiando de um e-mail recebido que aparenta ser da Docusign, siga também estes passos recomendados pelo próprio serviço para verificar a sua legitimidade.

Crescimento de golpes que utilizam marcas conhecidas

Golpes baseados em personificação de marcas continuam sendo uma das estratégias mais utilizadas por criminosos para aumentar a eficácia de campanhas de phishing. Plataformas amplamente utilizadas no ambiente corporativo, como serviços de assinatura eletrônica e produtividade, tornaram-se alvos frequentes devido ao alto grau de confiança dos usuários.

Segundo levantamento da CERT.br, mais de 2.500 sites falsos associados a campanhas de phishing e fraudes digitais já foram identificados no Brasil apenas neste ano. A engenharia social continua sendo uma das ferramentas mais eficientes do cibercrime porque explora comportamento humano e confiança digital. Por isso, conscientização e educação continuam sendo fundamentais para reduzir riscos.