Se você já assinou um contrato digital pela DocuSign, preste atenção: cibercriminosos estão usando sites falsos da plataforma para instalar malware em computadores brasileiros — e o download acontece sem que o usuário clique em nada. A descoberta é da equipe da ESET, que monitora atividade maliciosa na web e aponta a marca de assinaturas eletrônicas como a mais explorada em campanhas de engenharia social no país em 2026.
O que muda neste golpe?
Phishings tradicionais exigem que a vítima abra anexos ou preencha formulários. Não é o caso aqui. Os servidores clonados iniciam a transferência automática de um arquivo .vbs assim que a página é carregada. O script, executado via PowerShell, adiciona chaves de persistência no Registro do Windows e abre portas de comunicação com domínios externos. Em linguagem simples: o malware garante que será iniciado toda vez que a máquina ligar e cria um túnel escondido para baixar mais vírus no futuro.
Da teoria à prática: por que isso é grave?
O VBScript age como um downloader. Após o primeiro contato, ele busca nos servidores dos atacantes cargas finais, normalmente keyloggers e stealers de credenciais. Durante testes em laboratório, a ESET observou que os servidores que hospedam esses pacotes extras operavam em modo offline, provavelmente ativados apenas para alvos específicos — estratégia que dificulta a detecção por sistemas de antivírus em tempo real.
Na prática, o atacante consegue capturar senhas de e-mail corporativo, bancos e até perfis de jogos como Steam e Epic Games. Para quem investe pesado em hardware, perder acesso a contas cheias de jogos ou ter dados de cartão de crédito vazados pode doer tanto quanto ver sua GPU superaquecer.
Estatísticas que acendem o alerta
De acordo com o CERT.br, já foram identificadas 2.500 páginas fraudulentas voltadas à captura de dados no Brasil apenas em 2026. A DocuSign lidera o ranking de marcas abusadas, mas não está sozinha: nomes como Microsoft, Correios e grandes bancos nacionais também aparecem nos relatórios de incidentes.
Como reconhecer a página falsa?
Os golpistas registraram domínios que imitam visualmente (e até linguisticamente) o site original, trocando letras por números ou acrescentando hífens, por exemplo: “docuslgn-br.com”. Essa tática, chamada de typosquatting, engana à primeira vista e até passa por verificações superficiais de certificados SSL, já que os atacantes podem obter HTTPS gratuitamente.
Imagem: William R
Dicas rápidas de proteção
- Digite o endereço manualmente ou use favoritos salvos, evitando clicar em links de e-mail ou redes sociais que prometam “documentos urgentes”.
- Mantenha o Windows Defender (ou outro antivírus) ativo e atualizado. Soluções pagas com detecção de comportamento podem identificar o uso suspeito do PowerShell.
- Ative a filtragem de extensões no navegador; bloquear downloads automáticos de arquivos script (VBS, JS) é uma camada extra de defesa.
- Prefira hardware com TPM 2.0 e secure boot — recursos presentes em placas-mãe modernas ASUS, Gigabyte e MSI vendidas na Amazon que ajudam a impedir alterações não autorizadas no sistema durante a inicialização.
- Implementar autenticação em dois fatores (2FA) em suas contas reduz drasticamente o estrago caso uma senha seja capturada.
Se for infectado, o que fazer?
A própria ESET e o CERT.br recomendam desconectar fisicamente o cabo de rede (ou desligar o Wi-Fi) e executar uma varredura completa no disco. Dependendo da criticidade da máquina — especialmente PCs de trabalho remoto ou que armazenam carteiras de criptomoedas — pode valer mais a pena um format & reinstall limpo. Lembre-se de trocar todas as senhas a partir de um dispositivo seguro.
A campanha que explora a DocuSign mostra que engenharia social evoluiu: agora é silenciosa, automatizada e vem disfarçada de marcas de confiança. Fique atento, atualize suas defesas e aproveite apenas as vantagens reais da tecnologia — sem abrir brechas para golpistas.
Com informações de Hardware.com.br
