DocuSign témájú kampány
Egy új adathalász kampányt észleltek kutatók, amelyben kártékony kódokat rejtenek el hamis DocuSign témájú e-mailekben. A kampány már korában is felbukkant a VirfusTotalon, de még nem részletezték a mellékletben található tömörített fájlt tartalmazó szkriptet. A SANS oldalán megjelent feljegyzés a ismerteti a szkript működését.
A fertőzésből származó forgalom HTTP GET és POST kérések használatával történik a 159.65.42[.]223-as számra a 80-as TCP-porton keresztül. A kezdeti HTTP GET kérés szkriptet ad vissza, hogy információkat gyűjtsön a fertőzött Windows gazdagépről. A második HTTP kérés egy POST, amely elküldi az összegyűjtött információkat a C2 szervernek. A kezdeti POST-kérés után a fertőzött Windows-gazda körülbelül percenként egyszer bejelentkezik a C2-kiszolgálóra.
A C2 URL végén található 16 karakteres karakterlánc minden fertőzött gazdagép esetében egyedi. Ez valószínűleg további rosszindulatú programok megjelenéséhez való előkészület, de ezt a Brad Duncan kutató már nem ismertette.
A külföldön igen népszerű DocuSign szolgáltatás sztenderd elektronikus aláírást biztosít és több hazánkba is működő multinacionális vállalat is használja. A DocuSign jelzi is, hogy Magyarországon milyen módon használhatják az elektronikus aláírásukat.