Un grupo de cibercriminales se está aprovechando de una interfaz de programación de aplicaciones (API, por sus siglas en inglés) de la aplicación DocuSign para enviar facturas aparentemente legítimas a gran escala y utilizar las firmas de las víctimas para autorizar pagos futuros.
DocuSign es un servicio que permite introducir la firma electrónica en diferentes documentos, que después se pueden enviar por correo electrónico al remitente y facilita el guardado de una copia de ellos para consultas posteriores.
Esta aplicación dispone de una interfaz denominada Envelopes, que facilita la automatización legítima y permite crear, enviar y administrar plantillas de documentos, conocer su estado -si se han firmado o no- y recuperarlos una vez se hayan firmado.
Investigadores de Wallarm han advertido que los cibercriminales se están aprovechando de la API de esta aplicación para enviar facturas falsas aparentemente legítimas y para las que están utilizando cuentas y plantillas con las que se hacen pasar por empresas de confianza.
Una vez se hacen con el control de la interfaz, los ciberdelincuentes pueden utilizarla para diseñar documentos falsos que se asemejen a los que diseñan otras entidades conocidas para sumar víctimas y ejecutar actividades maliciosas a gran escala.
En primer lugar, los atacantes crean una cuenta legítima y de pago de DocuSign, un formato que les permite intercambiar las plantillas de los documentos y utilizar la API de la aplicación directamente.
Así, emplean una plantilla especialmente diseñada que imita las solicitudes de firma electrónica de documentos de marcas conocidas. En su mayoría, de empresas de ‘software’, como Norton Antivirus, tal y como apunta la firma de ciberseguridad.
Para parecer auténticas, estas facturas fraudulentas pueden contener precios exactos de los productos, así como cargos adicionales, como tarifas de activación. También es posible que incluyan órdenes de compra o instrucciones para ejecutar transferencias directas.
En otros casos, se han advertido facturas con diferentes conceptos siguiendo el mismo patrón, esto es, conseguir firmas para que después se puedan autorizar pagos destinados a las cuentas bancarias de los atacantes.
Debido a que estas facturas se envían directamente a través de la plataforma de DocuSign, parecen legítimas a los servicios de correo electróinico y a los filtros de ‘spam/phishing’. Eso, porque no hay archivos maliciosos adjuntos, ya que “el peligro reside en la propia solicitud”, tal y como apuntan los expertos de Wallarm.
La firma también señala que los usuarios afectados por esta campaña han aumentado “notablemente” en los último cinco meses, como también han crecido los comentarios relacionados con actividades fraudulentas en los fotos de la comunidad de DocuSign.
Según los expertos, estos informes “resaltan una metodología preocupante” debido a que los ciberdelincuentes no solo se hacen pasar por empresas, sino que logran introducirse en canales de comunicación legítimos para difundir sus campañas maliciosas.
DocuSign se ha puesto en contacto con BleepingComputer, a quien ha confirmado que está “al tanto” de estos incidentes y que sus equipos técnicos ya están trabajando “para ayudar a prevenir el uso indebido” de sus servicios.
Esto es lo que ha indicado un portavoz de la plataforma, que ha confirmado que monitoriza “continuamente” varias capas de sus sistemas para identificar comportamientos asociados con fraudes y actividades ilegales.
