Barracuda ha analizzato e reso noto GhostFrame, nuovo kit di Phishing-as-a-Service (PhaaS), che elude le difese senza sospetti e nasconde il contenuto malevolo negli iframe. È la prima volta che Barracuda rileva un’intera tattica di phishing basata sull’utilizzo dell’iframe, piccola finestra in una pagina web che può mostrare contenuti provenienti da un’altra fonte. La minaccia, responsabile a oggi di oltre un milione di attacchi, è stata monitorata a partire da settembre 2025 dagli esperti di Barracuda.
Qual è la tattica di GhostFrame
Stando all’analisi tecnica di Barracuda, il funzionamento di GhostFrame è apparentemente semplice, ma altamente efficace e ingannevole. A differenza della maggior parte dei kit di phishing, utilizza un semplice file HTML con sembianze legittime, ma in realtà, tutte le attività dannose avvengono all’interno di un iframe. Questo approccio fa sembrare la pagina di phishing autentica, nascondendone le vere origini e il fine fraudolento.
Le sue caratteristiche principali
Utilizza un file HTML esterno. Dall’aspetto innocuo, è privo di contenuti di phishing che possano attivare il rilevamento. Inoltre un codice dinamico può generare e manipolare i nomi dei sottodomini, in modo da crearne uno nuovo per ogni obiettivo.
All’interno di questa pagina, tuttavia, sono incorporati dei puntatori che indirizzano le vittime verso una pagina di phishing secondaria tramite un iframe.
La pagina iframe ospita i componenti di phishing veri e propri. Gli aggressori nascondono i form per acquisire le credenziali all’interno di una funzione di streaming di immagini progettata per file di grandi dimensioni. Rendendo così difficile il rilevamento dell’attacco da parte degli scanner statici, che in genere cercano moduli di phishing hardcoded (già presenti nel codice).
Il design dell’iframe consente agli aggressori di sostituire facilmente il contenuto di phishing, provare nuove tecniche o prendere di mira regioni specifiche. Il tutto senza modificare la pagina web principale che propaga il kit. Aggiornando semplicemente il punto di riferimento dell’iframe, il kit può evitare di essere rilevato dagli strumenti di sicurezza che controllano solo la pagina esterna.
Come altri kit di phishing di nuova generazione, GhostFrame ostacola e interrompe in modo aggressivo l’ispezione. Tra le altre azioni, blocca il clic destro del mouse, il tasto F12 della tastiera (utilizzato dagli strumenti per sviluppatori) e il tasto Invio, e disabilita le comuni scorciatoie da tastiera come Ctrl/Cmd e Ctrl/Cmd+Shift. Queste servono ai cybersecurity analyst per visualizzare il codice sorgente, salvare la pagina o aprire gli strumenti per sviluppatori.
Per proteggersi è necessario puntare su un approccio multilivello
Il contenuto delle e-mail di phishing di GhostFrame utilizza temi aziendali tipici, come false offerte commerciali e comunicazioni che impersonano le risorse umane. Alla stregua di altre e-mail di phishing, anche questi messaggi sono progettati per indurre i destinatari a cliccare su link pericolosi o scaricare file dannosi.
Saravanan Mohankumar, manager threat analysis team di Barracuda La scoperta di GhostFrame evidenzia l’evoluzione rapida e sofisticata dei kit di phishing. Questo è il primo esempio che abbiamo riscontrato di una piattaforma di phishing basata quasi interamente sugli iframe. Caratteristica sfruttata dai cyber aggressori per aumentare la flessibilità dell’attacco ed eludere il rilevamento. Per proteggersi, le organizzazioni devono superare le difese statiche e adottare strategie multilivello. Dalla formazione degli utenti agli aggiornamenti regolari del browser, agli strumenti di sicurezza per rilevare iframe sospetti, al monitoraggio continuo e condivisione delle informazioni sulle minacce.
