De Tsjechische computerbeveiligingsexpert Peter Gramantik ontdekte deze nieuwe manier van malware verspreiden. Op zijn weblog doet de analist van het Amerikaanse beveiligingsbureau Securi uit te doeken hoe deze slimme truc werkt.

De aanvallers laden een op het eerste gezicht veilig stuk javascript in een verborgen iframe. Het gebruik van een iframe om malware te verspreiden is niets nieuws, maar kan normaliter eenvoudig door detectiesoftware onschadelijk worden gemaakt. Het javascript in deze iframe laadt een, alweer op het eerste gezicht veilig, PNG-bestand. In de metadata van dit bestand staat echter een stukje javascript-code met een verwijzing naar een malware-site. Vervolgens wordt deze code in de iframe geladen, waarna de malware buiten het zicht van de niets vermoedende gebruiker zijn kwaadaardige werk kan doen. Volgens Gramantik een nog nooit eerder vertoonde manier om computers met malware te besmetten.

Gramantik merkt op dat metadata van andere afbeeldingsformaten ook geschikt is. Virus- en malware-scanners controleren deze metadata niet. Met als resultaat dat de malware-code onopgemerkt blijft. Gramantik vond in zijn voorbeeld een verwijzing naar een Russische malware-site die door Google is geblokkeerd. De site heeft volgens Google het afgelopen kwartaal meer dan 1200 internetdomeinen geïnfecteerd. Maar door deze slimme PNG-truc kan een geblokkeerde malware-site onder Google's radar blijven.

Het javascript (jquery.js), met dron.png als de gewraakte PNG.