Cybercriminelen plaatsen al geruime tijd kwaadaardige code op gehackte websites die bezoekers met malware infecteert, maar om ontdekking van deze code te voorkomen gebruiken sommige aanvallers een "cookiebom". De cookiebom wordt zo genoemd omdat deze specifieke kwaadaardige code actief wordt als internetgebruikers een gehackte website bezoeken met een browser die cookies accepteert.


De code controleert of de bezoeker van de gehackte website al over een specifieke cookie en waarde beschikt. Als dat niet het geval is, wordt die speciaal voor de bezoeker aangemaakt. Op hetzelfde moment worden gebruikers, ongeacht of ze over dit cookie beschikken, via een verborgen iframe naar een andere website doorgestuurd.

Nadat de bezoeker via het verborgen iframe is doorgestuurd wordt de verloopdatum van het net geplaatste cookie gelezen. Aan de hand hiervan wordt tot een bepaalde "actie" overgegaan wat in de meeste gevallen een redirect naar een andere pagina is. Uiteindelijk wordt geprobeerd om de bezoeker via een ongepatcht lek in bijvoorbeeld Java, Adobe Reader of andere software te infecteren. De aanval is de afgelopen weken op verschillende websites aangetroffen, waaronder ook verschillende Nederlandse sites, zo blijkt uit dit overzicht van beveiligingsbedrijf ZScaler.

Alles bij de bron; Security