Une campagne de phishing a récemment ciblé 20.000 personnes en Europe, selon l’unité 42 de Palo Alto Networks. Les victimes reçoivent des emails leur demandant une action rapide sur DocuSign. Plus précisément, l’email contient un fichier PDF activé par Docusign ou un lien HTML intégré dirigeant les victimes vers un HubSpot Free Form Builder malveillant.

L’objectif de DocuSign étant de recueillir des signatures numériques sur des documents, la présence de tels fichiers crée un sentiment d’urgence. C’est un appât classique des hameçonneurs.

Cette tactique permet aux attaquants de voler des identifiants de compte et de détourner l’infrastructure cloud Microsoft Azure des victimes. Après avoir pris le contrôle des comptes, les malfaiteurs se connectent à de nouveaux appareils en utilisant les identifiants volés afin de conserver l’accès à l’environnement cloud et aux données sensibles qu’il contient.

La campagne est en cours depuis juin dernier.