Les hackers envoient plusieurs variantes d’e-mails leurres à travers le monde qui invitent les destinataires à cliquer sur un lien pour regarder une vidéo présentant un entretien avec les conseillers de Barack Obama, le président élu des États-Unis, ou voir un extrait de son discours de remerciement. Un clic sur le lien dirige les personnes vers un site Web malveillant qui infecte leurs machines d’un code de vol de données. Dans certaines variantes de l’attaque, les cybercriminels utilisent des noms de publication très connus, tels que Time Magazine et La República (Pérou) dans la ligne d’objet du message pour inciter les destinataires à cliquer sur le lien.

Dan Hubbard, Directeur technique de Websense, explique que « l’élection américaine a été très suivie par le public du monde entier, ce qui en fait un thème idéal de leurre que les cybercriminels exploitent pour tenter de dérober des informations à des victimes sans méfiance. Nous observons de multiples variantes de cette attaque et le nombre des e-mails augmente par milliers chaque heure ».

Certains messages contiennent des liens vers un fichier dénommé BarackObama.exe qui réside sur un site de voyage compromis. Le fichier est conçu pour télécharger un cheval de Troie de vol d’informations. Lors de l’exécution, des fichiers dénommés system.exe et firewall.exe sont copiés dans le dossier système des victimes et un kit de phishing est extrait localement, pour installer des fichiers destinés au démarrage. Le fichier hosts est également modifié.

Dans une autre variante, les victimes qui cliquent sur le lien accèdent à un domaine enregistré à cet effet, qui leur conseille d’installer la dernière version du lecteur Adobe Flash avant de regarder la vidéo. Le site Web malveillant dirige vers un fichier dénommé adobe_flash.exe qui est en réalité un cheval de Troie compressé avec ASPack. Lors de l’exécution, un RootKit est installé sur la machine compromise, et les données de la victime sont envoyées à plusieurs serveurs de commande et de contrôle.

Toutes les solutions de Websense reposent sur le réseau Websense ThreatSeeker™ qui surveille en permanence Internet pour détecter des modifications et de nouvelles menaces telles la présente attaque. La connaissance acquise est immédiatement intégrée aux solutions de sécurité Web, de messagerie et des données de Websense. Ainsi, ces produits peuvent s’adapter à l’évolution rapide des menaces Internet bien plus vite que les solutions de sécurité classiques.