17 jun Golpe imita site da DocuSign para instalar vírus em PCs no Brasil, aponta relatório
Um novo golpe está usando o nome da DocuSign para distribuir malware no Brasil. A descoberta é da empresa de segurança digital ESET e foi compartilhada em primeira mão com o TecMundo. Segundo a investigação, os criminosos criaram pelo menos três sites falsos em português, que imitam a identidade visual da empresa de assinaturas e iniciam o download de um arquivo malicioso de forma automática, sem que o usuário precise clicar em nada. O TecMundo notificou a DocuSign sobre o caso e atualizará a reportagem com seu posicionamento.
A DocuSign é uma empresa de tecnologia especializada em assinaturas eletrônicas e gestão de acordos digitais, permitindo que pessoas e organizações assinem, enviem e administrem documentos de forma segura pela internet. Sua plataforma é amplamente utilizada por empresas e órgãos públicos para agilizar processos, reduzir o uso de papel e aumentar a eficiência e a conformidade em transações digitais.
De acordo com a telemetria da ESET, a DocuSign foi a marca mais explorada em campanhas de phishing detectadas no Brasil em 2026. Phishing é o tipo de fraude que usa mensagens ou páginas falsas para enganar a vítima e roubar dados ou instalar malware no dispositivo. “Os criminosos exploram justamente a confiança que o usuário deposita nesses serviços para reduzir a percepção de risco”, explica Jonathan Ramos, pesquisador de segurança da ESET no Brasil.
Reprodução de e-mail e página de redirecionamento do golpe, relatadas por um usuário no LinkedIn. Imagem: ESET.
Golpe pode ter começado por e-mail de phishing
A ESET não conseguiu confirmar a origem de todos os casos analisados, mas há indícios de que os sites estejam sendo espalhados por campanhas de phishing. Um dos casos veio de um relato publicado no LinkedIn, um usuário contou ter recebido uma mensagem com um link para uma página falsa parecida com as identificadas pela empresa.
As páginas copiam elementos da DocuSign, como logotipo, cores e estrutura visual. O objetivo é parecer legítimo e reduzir a desconfiança de quem recebe o link. Os endereços usados pelos criminosos também imitam o domínio oficial da DocuSign. Isso porque um link parecido com o original é mais difícil de identificar como falso à primeira vista.
“Muitos golpes atuais não dependem mais apenas de erros gramaticais ou mensagens mal elaboradas. Os criminosos investem cada vez mais em campanhas visualmente sofisticadas, capazes de reproduzir com precisão comunicações corporativas reais”, explica Ramos.
Página falsa copia o layout da DocuSign e usa um endereço parecido com o domínio oficial para enganar a vítima. Imagem: ESET.
Basta acessar a página falsa para o malware começar a baixar
Nos casos analisados, o usuário não precisa clicar em nenhum botão. Ao abrir a página falsa, o navegador já inicia o download do arquivo malicioso de forma automática, que possui a extensão “.vbs”. Esse tipo de arquivo funciona como downloader, ou seja, ele serve para baixar outras ameaças no dispositivo depois de instalado.
A ESET analisou os scripts e descobriu que eles executam comandos via PowerShell, uma ferramenta de linha de comando do Windows usada para automatizar tarefas. Os scripts também criam mecanismos de persistência, que basicamente fazem o malware continuar ativo mesmo depois que o dispositivo é reiniciado.
Análise do arquivo .vbs na ferramenta VirusTotal aponta comportamento de downloader, dropper e trojan. Imagem: ESET.
Os arquivos analisados também tentavam se conectar a servidores externos para baixar novas cargas maliciosas. No momento da análise, porém, esses servidores estavam offline. Segundo a ESET, campanhas desse tipo costumam usar malwares para roubo de credenciais, monitoramento de atividades e acesso remoto ao dispositivo infectado.
“No contexto corporativo, uma única infecção pode representar a porta de entrada para ataques mais amplos. Por isso, campanhas que exploram serviços populares e confiáveis continuam sendo altamente eficazes para criminosos”, alerta Ramos.
Por que o formato VBS é tão usado em golpes
Arquivos VBS podem ser usados de forma legítima em tarefas administrativas do Windows. Mas também são bastante explorados por criminosos, isso porque são fáceis de executar e automatizar. Muitos usuários não reconhecem o risco desse tipo de arquivo e o problema fica ainda maior quando o download acontece em uma página que parece legítima.
Arquivos enviados por e-mail ou baixados de links suspeitos podem conter malware disfarçado de documento.
O que fazer se você baixou o arquivo por engano
Caso o arquivo tenha sido baixado, a recomendação da ESET é isolar o dispositivo imediatamente. Isso significa desconectá-lo da internet e de redes locais para impedir a comunicação com servidores externos.
O ideal é não executar o arquivo. Se ele já tiver sido aberto, é preciso removê-lo e fazer uma varredura completa com uma solução de segurança confiável. Também vale monitorar as contas usadas no dispositivo em busca de atividade suspeita e trocar senhas consideradas críticas. Em empresas, a orientação é avisar a equipe de TI ou segurança imediatamente.
Como se proteger de golpes que usam a DocuSign
A ESET recomenda atenção redobrada a mensagens sobre assinaturas eletrônicas, contratos e documentos urgentes. Vale verificar o endereço do remetente, analisar o link antes de clicar e desconfiar de mensagens que criam senso de urgência.
Usar uma solução de segurança capaz de identificar comportamentos suspeitos também ajuda a bloquear o arquivo antes da execução. Em caso de dúvida, o caminho mais seguro é acessar diretamente o portal oficial da DocuSign para confirmar a legitimidade do documento.
Brasil já teve mais de 2.500 sites falsos de phishing em 2026
Segundo levantamento do CERT.br, mais de 2.500 sites falsos ligados a campanhas de phishing já foram identificados no país neste ano. Golpes que usam marcas conhecidas continuam entre as estratégias mais eficientes do cibercrime.
“A engenharia social continua sendo uma das ferramentas mais eficientes do cibercrime porque explora comportamento humano e confiança digital. Por isso, conscientização e educação continuam sendo fundamentais para reduzir riscos”, finaliza Ramos.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.