Cybercriminelen plaatsen al geruime tijd kwaadaardige code op gehackte websites die bezoekers met malware infecteert, maar om ontdekking van deze code te voorkomen gebruiken sommige aanvallers een "cookiebom". De cookiebom wordt zo genoemd omdat deze specifieke kwaadaardige code actief wordt als internetgebruikers een gehackte website bezoeken met een browser die cookies accepteert.

De code controleert of de bezoeker van de gehackte website al over een specifieke cookie en waarde beschikt. Als dat niet het geval is, wordt die speciaal voor de bezoeker aangemaakt. Op hetzelfde moment worden gebruikers, ongeacht of ze over dit cookie beschikken, via een verborgen iframe naar een andere website doorgestuurd.

Tijdens het aanmaken van de cookie wordt die van verschillende specifieke waarden voorzien, namelijk de bestandsnaam van de cookie, een speciale variabele waarde, de verloopdatum en het toegangspad. Dit zijn vier belangrijke waarden die voor het verdere verloop nodig zijn.

Infectie

Nadat de bezoeker via het verborgen iframe is doorgestuurd wordt de verloopdatum van het net geplaatste cookie gelezen. Aan de hand hiervan wordt tot een bepaalde "actie" overgegaan wat in de meeste gevallen een redirect naar een andere pagina is. Uiteindelijk wordt geprobeerd om de bezoeker via een ongepatcht lek in bijvoorbeeld Java, Adobe Reader of andere software te infecteren.

De reden dat de aanvallers een cookiebom gebruiken is om de infectie te vertragen en detectie en waarschuwingen te voorkomen, aldus onderzoekers van Malware Must Die. Om deze vertraging mogelijk te maken wordt een cookie gebruikt, vandaar de term cookiebom.

De aanval is de afgelopen weken op verschillende websites aangetroffen, waaronder ook verschillende Nederlandse sites, zo blijkt uit dit overzicht van beveiligingsbedrijf ZScaler.