Se puede configurar un sitio web para que solo descargue malware en un sistema si un usuario específico inicia sesión.
Por supuesto, si tiene el control del sitio de inicio de sesión, puede hacerlo. Tal "control" podría ser si usted es el propietario legal del sitio, lo posee ilegalmente (es decir, pirateado) o puede controlar su parte relevante con ataques de scripts entre sitios o tal vez porque ha comprometido la base de datos con inyección SQL sólo tiene una selección de posibles ataques). También puede hacerlo si no tiene el control del sitio en sí, pero tiene el control de un sistema en la ruta (es decir, un proxy inverso o un equilibrador de carga, enrutador ...) y puede montar a un hombre en el ataque central.
Sí. Después de que un usuario específico inicie sesión en el sistema, usualmente se puede usar JavaScript en el cliente (navegador) que puede iniciar una descarga fácilmente.
Lea otras preguntas en las etiquetas malware