JavaScript en iFrames zijn de voornaamste manieren waarop hackers malware op gehackte websites verstoppen, maar ook de ontwikkeling van iFrames staat niet stil. De onzichtbare iFrames laden stilletjes de exploits van de kwaadaardige site waar ze naar toe linken, zonder dat bezoekers van de legitieme website iets door hebben. IFrames maken het mogelijk om content van andere websites te laden, zonder dat bezoekers hiervoor de website met het iFrame hoeven te verlaten. De voornaamste reden voor het gebruik van de technologie is bijvoorbeeld voor het tonen van advertenties, zoals Google Adsense.

Flikkering
IFrames hebben normaal een bepaalde afmeting, maar het is ook mogelijk een afmeting van nul op te geven. In het begin gebruikten aanvallers deze mogelijkheid, waardoor beveiligers hier bewust naar zochten. De volgende stap van de aanvallers was het gebruik van amper zichtbare iFrames, die slechts een paar pixels in beslag nemen, of het gebruik van de “visibility: hidden” functie, die het iFrame niet in de browser toont, maar wel de content laadt. Een maand geleden begonnen aanvallers met het gebruik van iFrames die geen enkele code bevatten om onzichtbaar te zijn.

Toch worden de iFrames niet in de browser getoond. "De truc was het plaatsen van een zichtbaar iFrame binnen een onzichtbare div", zegt beveiligingsonderzoeker Denis Sinegubko. Inmiddels wordt al een nieuwe tactiek toegepast, waarbij aanvallers iFrames injecteren die beide src-parameters als dimensie- en stijlparameters missen die vertellen waar de pagina vandaan geladen moet worden. Die worden vervolgens middels een onload-event met JavaScript toegevoegd, waardoor er kort iets op het beeld flikkert. "Op deze manier verbergen hackers hun iFrames voor scanners die naar verborgen iFrames of iFrames van onbetrouwbare bronnen zoeken."

Update: Tekst met dank aan lezer aangepast