Norman ha segnalato che un numero crescente di
CEO ha ricevuto e-mail che comunicavano falsi ordini di comparizione su larga scala, nel tentativo di installazione di un falso plug-in. Si tratta di un
trojan che potrebbe assumere il controllo del PC vittima dell'attacco.
Dapprima i CEO ricevono un'e-mail inviata apparentemente dal tribunale federale statunitense simile a un ordine di comparizione, in cui si afferma che sono stati citati in giudizio e devono, quindi, visualizzare i documenti del tribunale facendo clic su un collegamento Web. L'e-mail sembra davvero realistica, contiene il nome corretto dell'azienda e del CEO e potrebbe addirittura contenere il numero di telefono corretto. Questi particolari inducono i destinatari a seguire le istruzioni contenute nell'e-mail.
Facendo clic sul collegamento agli utenti viene richiesto di installare un plug-in per accedere ai documenti. In questo modo le vittime installano un trojan che consente ai criminali di accedere ai dati memorizzati sul computer. Il cavallo di Troia viene installato come archivio CAB con firma digitale che estrae un file denominato acrobat.exe. Questo file quindi installa acrobat.dll che consente al trojan di accedere a tutti i dati che passano dal browser Web e da Windows Explorer.
Un attacco di questo tipo, mirato a un particolare gruppo di persone, è denominato "
spear phishing".