- A ESET identificou pelo menos três sites falsos em português que imitam a DocuSign para distribuir malware no Brasil.
- Em alguns casos, abrir a página falsa faz o download automático de um arquivo com extensão .vbs, sem a necessidade de clicar em algo.
- Os scripts utilizam PowerShell e criam mecanismos de persistência para manter o malware ativo após reinicialização.
- A campanha pode ter origem em phishing; houve relato no LinkedIn de usuário recebendo link para página falsa semelhante às oficiais.
- O CERT.br aponta mais de dois mil e quinhentos sites falsos de phishing no Brasil em 2026; recomenda verificar remetentes, evitar cliques em links duvidosos e usar proteção de segurança.
Um golpe que se faz passar pela DocuSign foi identificado pela empresa de segurança digital ESET como distribuidor de malware no Brasil. Sites falsos em português imitam a identidade visual da plataforma e iniciam downloads de arquivos maliciosos sem ação do usuário.
A descoberta foi compartilhada pela ESET ao TecMundo. Pelo menos três páginas falsas foram detectadas, com layout similar ao da DocuSign. Os sites começam o download de um arquivo com extensão .vbs automaticamente, sem clique. A DocuSign ainda não se posicionou publicamente.
A DocuSign atua em assinaturas eletrônicas e gestão de acordos digitais, com uso por empresas e órgãos públicos para facilitar processos. A plataforma facilita assinatura, envio e administração de documentos pela internet.
Como o golpe opera
Segundo a telemetria da ESET, a DocuSign foi a marca mais explorada em campanhas de phishing no Brasil em 2026. Phishing envolve páginas falsas para roubar dados ou instalar malware. Criminosos exploram a confiança nos serviços.
Um caso levantado por relato no LinkedIn indica envio de link para página falsa parecida com as identificadas. As páginas copiam logotipo, cores e estrutura da DocuSign para soar legítimas. Endereços imitam o domínio oficial.
Nos casos analisados, basta abrir a página falsa para que o download do malware comece. O arquivo .vbs funciona como downloader, baixando novas ameaças após instalado. Scripts usam PowerShell e criam persistência no sistema.
Persistência e funcionamento do malware
Os scripts configuram mecanismos de persistência para manter o malware ativo após reinicializações. Também tentam se conectar a servidores externos para baixar cargas adicionais, embora esses servidores estivessem offline no momento da análise.
Especialistas destacam que malware com esse formato pode roubar credenciais, monitorar atividades e oferecer acesso remoto ao dispositivo. Em ambientes corporativos, uma infecção pode abrir portas para ataques maiores.
Por que o formato VBS é comum em golpes
Arquivos VBS podem ser usados de forma legítima no Windows, mas são explorados por criminosos pela facilidade de execução. Downloads em páginas que parecem confiáveis aumentam o risco para usuários.
Orientações para quem pode ter sido atingido
Caso o arquivo tenha sido baixado, isole o dispositivo da internet e de redes locais. Não execute o arquivo; se já aberto, remova-o e faça varredura com solução de segurança confiável. Troque senhas críticas.
Para proteção, use segurança capaz de detectar comportamentos suspeitos e verifique diretamente o portal oficial da DocuSign para confirmar legitimidade de documentos. Em empresas, avise a TI ou a segurança.
Contexto nacional
O CERT.br aponta mais de 2.500 sites falsos de phishing identificados no Brasil em 2026. Campanhas que usam marcas conhecidas continuam entre as mais eficazes do cibercrime, reforçando a importância de conscientização e educação digital.
Entre na conversa da comunidade