Em novembro passado, escrevemos sobre como os invasores estão usando injeções de JavaScript para carregar código malicioso de arquivos CSS legítimos.
À primeira vista, essas injeções não pareciam conter nada, exceto algumas regras CSS benignas. Uma análise mais completa do arquivo.CSS revelou 56.964 linhas aparentemente vazias contendo combinações de caracteres de guia invisível (0x09), espaço (0x20) e alimentação de linha (0x0A), que foram convertidos para representação binária de caracteres e, em seguida, para o texto de um código JavaScript executável.
Continue lendo Whitespace Steganography Oculta Web Shell em malware de PHP no Sucuri Blog.
