Nuovo kit di phishing avanzato scoperto da Barracuda
Le e-mail di phishing generate da GhostFrame utilizzano temi aziendali tipici, come false offerte commerciali o comunicazioni che impersonano le risorse umane.
GhostFrame è un kit di phishing che si basa su iframe ed è responsabile di oltre un milione di attacchi e progettato per eludere le difese tradizionali.
Barracuda Networks ha analizzato e diffuso i dettagli di un nuovo kit di phishing-as-a-Service (PhaaS), particolarmente abile nell’eludere le difese senza destare sospetti. Questo kit nasconde il contenuto malevolo all’interno degli iframe, una finestra in una pagina web che può mostrare contenuti provenienti da un’altra fonte, per sfuggire al rilevamento con grande flessibilità. Si tratta della prima volta che Barracuda rileva un’intera tattica di phishing basata sull’uso degli iframe. La nuova minaccia, denominata GhostFrame, ha già causato oltre un milione di attacchi ed è stata monitorata a partire da settembre 2025 dagli esperti di Barracuda.
Secondo l’analisi tecnica, il funzionamento di GhostFrame è apparentemente semplice, ma altamente efficace e ingannevole. A differenza di altri kit di phishing, GhostFrame utilizza un file HTML con sembianze legittime, mentre tutte le attività dannose avvengono all’interno di un iframe. Questo approccio rende la pagina di phishing più autentica, nascondendone le vere origini e il fine fraudolento.
Caratteristiche principali di GhostFrame
Utilizza un file HTML esterno dall’aspetto innocuo, privo di contenuti di phishing che possano attivare il rilevamento, e un codice dinamico che genera e manipola i nomi dei sottodomini, creando uno nuovo per ogni obiettivo.
All’interno della pagina HTML, sono presenti puntatori che indirizzano le vittime verso una pagina di phishing secondaria tramite iframe.
La pagina iframe ospita i componenti di phishing veri e propri. Gli aggressori nascondono i form per acquisire le credenziali all’interno di una funzione di streaming di immagini progettata per file di grandi dimensioni, rendendo difficile il rilevamento dell’attacco da parte degli scanner statici, che in genere cercano moduli di phishing hardcoded (già presenti nel codice).
Il design dell’iframe consente agli aggressori di sostituire facilmente il contenuto di phishing, provare nuove tecniche o prendere di mira regioni specifiche. Il tutto senza modificare la pagina web principale che propaga il kit. Aggiornando semplicemente il punto di riferimento dell’iframe, il kit può evitare di essere rilevato dagli strumenti di sicurezza che controllano solo la pagina esterna.
Come altri kit di phishing di nuova generazione, GhostFrame ostacola e interrompe in modo aggressivo l’ispezione. Tra le altre azioni, blocca il clic destro del mouse, il tasto F12 della tastiera (utilizzato dagli strumenti per sviluppatori) e il tasto Invio. E disabilita le comuni scorciatoie da tastiera come Ctrl/Cmd e Ctrl/Cmd+Shift, che servono ai cybersecurity analyst per visualizzar
Il phishing moderno e le e-mail aziendali ingannevoli
Le e-mail di phishing generate da GhostFrame utilizzano temi aziendali tipici, come false offerte commerciali o comunicazioni che impersonano le risorse umane. Come altri attacchi di phishing avanzati, questi messaggi mirano a indurre i destinatari a cliccare su link pericolosi o scaricare file dannosi.
Saravanan Mohankumar, manager del threat analysis team di Barracuda
La scoperta di GhostFrame evidenzia l’evoluzione rapida e sofisticata dei kit di phishing. GhostFrame è il primo esempio di piattaforma basata quasi interamente su iframe, sfruttata dai cyber aggressori per aumentare la flessibilità e eludere il rilevamento.
Strategie di difesa contro GhostFrame
Per proteggersi da questo tipo di phishing, le organizzazioni devono adottare strategie multilivello. Formazione degli utenti, aggiornamenti regolari del browser, strumenti di sicurezza per rilevare iframe sospetti, monitoraggio continuo e condivisione delle informazioni sulle minacce.
Saravanan Mohankumar, manager del threat analysis team di Barracuda
