Специалист по компьютерной безопасности Орен Хафиф из компании Trustwave сообщил об открытии еще одной разновидности атак с отражением вредоносных скриптов от доверенных сайтов. В таких атаках пользователя обманом заставляют щелкнуть по ссылке, которая, на первый взгляд, выглядит, как ссылка на доверенный сайт, но на самом деле содержит в себе вредоносный код. Браузер исполняет этот код. Новый тип атак Хафиф называет атаками с отраженной загрузкой файлов (reflected file download, RFD). В этом случае при щелчке по ссылке код не выполняется, но браузер предлагает загрузить файл, содержимое которого полностью закодировано в самой ссылке. Однако для пользователя все выглядит так, как будто файл загружается с доверенного сервера.

Для проведения атаки необходимо, чтобы сайт, ссылку на который подделывает взломщик, отвечал определенным условиям. Уязвимо большинство сайтов, на которых используется технология JSON или JSONP, — в частности, некоторые сервисы Google, Microsoft Bing и многие другие популярные сайты, утверждает исследователь. В некоторых случаях атакующий может даже отключить предупреждение, которое выдает Windows перед запуском файлов, загруженных из Интернета.