Golpistas criam sites falsos da DocuSign para baixar vírus no seu PC; entenda

Pesquisadores da ESET identificaram uma campanha que utiliza páginas falsas da DocuSign para distribuir malware a usuários brasileiros capaz de roubar assinaturas eletrônicas. Os pesquisadores encontraram ao menos três sites diferentes em português que compartilhavam características semelhantes, incluindo layout, funcionamento e mecanismos de download automático de arquivos maliciosos.

A preocupação dos especialistas está relacionada à ampla adoção da DocuSign por empresas, escritórios de advocacia, instituições financeiras e órgãos públicos. Como muitas pessoas recebem contratos, propostas e formulários por meio da plataforma, mensagens relacionadas ao serviço costumam despertar menos desconfiança.

Segundo Jonathan Ramos, pesquisador de segurança da ESET no Brasil, “A popularidade de plataformas amplamente utilizadas no ambiente corporativo transforma essas marcas em ferramentas extremamente eficientes para campanhas de fraude. Os criminosos exploram justamente a confiança que o usuário deposita nesses serviços para reduzir a percepção de risco”.

O golpe normalmente começa com o recebimento de uma mensagem que aparenta ser legítima. Embora a ESET não tenha conseguido confirmar todos os vetores de distribuição, os indícios apontam para campanhas de phishing enviadas por e-mail.

A etapa mais perigosa acontece em seguida. Diferentemente de muitos golpes que dependem da interação do usuário, os sites analisados iniciavam automaticamente o download de um arquivo malicioso.

Em alguns casos, a vítima não precisava clicar em botões adicionais nem realizar qualquer outra ação para que o download começasse. Caso o arquivo seja executado, o dispositivo pode ser infectado e passar a receber novas cargas maliciosas baixadas de servidores controlados pelos criminosos.

O sucesso desse tipo de fraude está diretamente ligado à engenharia social, técnica que manipula o comportamento humano para induzir decisões precipitadas. Os criminosos investem em páginas cada vez mais sofisticadas, com logotipos, identidade visual e linguagem corporativa semelhantes aos dos serviços legítimos.

Outro elemento recorrente é a criação de senso de urgência. O usuário é levado a acreditar que precisa analisar ou assinar um documento imediatamente, reduzindo as chances de uma verificação cuidadosa.

Segundo o pesquisador, os criminosos procuram formatos e abordagens que reduzam a percepção de risco da vítima. O uso de marcas conhecidas e interfaces visuais convincentes aumenta significativamente as chances de interação e, consequentemente, de sucesso da fraude.

A primeira medida é conferir com atenção o endereço exibido na barra do navegador. Pequenas alterações no domínio podem indicar uma tentativa de fraude. Também é importante verificar se o domínio realmente pertence à DocuSign e desconfiar de endereços longos, incomuns ou compostos por combinações estranhas de palavras e caracteres.

Pedidos incomuns devem servir de alerta. Plataformas de assinatura eletrônica normalmente não exigem downloads automáticos para visualizar documentos. Outro sinal de risco é justamente o início imediato de downloads sem que o usuário solicite essa ação. Esse comportamento não faz parte do funcionamento normal da plataforma.

Antes de clicar em qualquer link, vale conferir cuidadosamente o endereço do remetente. Outra dica é posicionar o cursor sobre os links para visualizar o endereço de destino antes da abertura. Quando houver dúvidas, o mais seguro é acessar diretamente a conta da DocuSign e verificar se existe algum documento pendente, sem utilizar os links recebidos por e-mail. A própria DocuSign disponibiliza recursos de verificação para ajudar usuários a confirmar se determinadas mensagens são legítimas ou fraudulentas.

Os arquivos identificados pela ESET possuíam extensão .vbs, associada ao Visual Basic Script, uma linguagem utilizada pelo Windows para automação de tarefas. Em ambientes corporativos e administrativos, scripts VBS podem ser empregados para executar rotinas legítimas, automatizar processos e realizar configurações em sistemas. O problema é que o mesmo mecanismo também pode ser utilizado por criminosos para executar comandos maliciosos.

Nos casos analisados pela ESET, os arquivos funcionavam como downloaders, ou seja, programas criados para estabelecer comunicação com servidores externos e baixar novas ameaças para o dispositivo comprometido. De acordo com a ESET, campanhas desse tipo costumam ser utilizadas para distribuir malwares voltados ao roubo de credenciais, monitoramento de atividades e acesso remoto ao dispositivo comprometido.

Quem baixou o arquivo não deve executá-lo em hipótese alguma. Se o download ocorreu, mas o arquivo permaneceu fechado, o recomendado é removê-lo imediatamente do computador e esvaziar a lixeira do sistema. Também vale realizar uma varredura completa com uma solução de segurança atualizada para verificar a existência de outras ameaças.

Caso o arquivo tenha sido aberto, a orientação é monitorar atividades suspeitas em contas utilizadas no dispositivo e alterar senhas consideradas importantes. A ESET recomenda ainda isolar imediatamente o equipamento, desconectando-o da internet e de redes locais para impedir a comunicação com servidores externos e o possível download de novas cargas maliciosas.

Em ambientes corporativos, o incidente deve ser comunicado imediatamente à equipe de TI ou segurança da informação para que medidas de contenção sejam adotadas.

Verificar cuidadosamente URLs, desconfiar de mensagens que criem pressão excessiva e confirmar solicitações pelos canais oficiais são atitudes que reduzem significativamente o risco de fraude. Manter antivírus e sistemas operacionais atualizados também ajuda a bloquear arquivos maliciosos antes da execução.

Especialistas recomendam ainda evitar decisões apressadas diante de mensagens relacionadas a contratos, pagamentos ou documentos urgentes. Na dúvida, o melhor caminho é interromper a ação e confirmar a legitimidade da solicitação por meios independentes.

Marcas populares oferecem aos criminosos um ativo valioso: a confiança do usuário. Quando uma pessoa recebe uma mensagem aparentemente enviada por uma plataforma que utiliza regularmente no trabalho ou na vida pessoal, tende a agir com menos cautela. Esse fenômeno explica por que serviços corporativos, plataformas de produtividade, bancos, empresas de tecnologia e sistemas de assinatura eletrônica aparecem com frequência em campanhas de phishing.

A própria ESET já observou anteriormente o uso da marca DocuSign em golpes destinados ao roubo de credenciais e à distribuição de malware. Quanto maior a base de usuários e a relevância da plataforma, maior costuma ser o interesse dos criminosos.

Além da DocuSign, criminosos frequentemente exploram marcas ligadas a bancos, serviços de e-mail, plataformas de armazenamento em nuvem, empresas de tecnologia e ferramentas amplamente utilizadas no ambiente corporativo para aumentar a credibilidade das campanhas fraudulentas.

A descoberta da ESET envolvendo páginas falsas da DocuSign mostra como os criminosos estão investindo em golpes cada vez mais sofisticados para roubar dados e instalar malware em dispositivos de usuários brasileiros. Segundo a empresa, a DocuSign foi a marca mais explorada em campanhas de phishing detectadas no Brasil em 2026. Os números indicam que o problema está longe de ser isolado.

Segundo levantamento citado pela ESET com base em dados do CERT.br, mais de 2.500 sites falsos associados a campanhas de phishing e fraudes digitais já foram identificados no Brasil apenas neste ano. O CERT.br mantém um sistema permanente de monitoramento de páginas fraudulentas utilizadas por criminosos para roubo de dados e aplicação de golpes online.

Para Jonathan Ramos, pesquisador de segurança da ESET no Brasil, “A engenharia social continua sendo uma das ferramentas mais eficientes do cibercrime porque explora comportamento humano e confiança digital. Por isso, conscientização e educação continuam sendo fundamentais para reduzir riscos”.