Oltre 1 milione di attacchi: Barracuda identifica il nuovo kit di phishing GhostFrame

Barracuda Networks ha analizzato e diffuso i dettagli di un nuovo kit diPhishing-as-a-Service (PhaaS)che risulta particolarmente abile nell’eludere le difese senza destare sospetti e che nasconde il contenuto malevolo all’interno degliiframe(ovvero una piccola finestra in una pagina web che può mostrare contenuti provenienti da un'altra fonte) per sfuggire al rilevamento con grande flessibilità. Si tratta dellaprima voltain cui Barracuda rileva un’intera tattica di phishing basata sull’utilizzo dell’iframe. Questa nuova minaccia, responsabile a oggi dioltre un milione di attacchi, è stata monitorata a partire da settembre 2025 dagli esperti di Barracuda, che l’hanno denominataGhostFrame. 

Stando all'analisi tecnica di Barracuda, il funzionamento di GhostFrame è apparentemente semplice, maaltamente efficace e ingannevole. A differenza della maggior parte dei kit di phishing, GhostFrame utilizza un semplice file HTML con sembianze legittime, ma in realtà, tutte le attività dannose avvengono all'interno di un iframe. Questo approccio fa sembrare la pagina di phishing autentica, nascondendone le vere origini e il fine fraudolento.

Di seguito, alcune delle caratteristiche principali di GhostFrame.

• Utilizza unfile HTML esternodall'aspetto innocuo, privo di contenuti di phishing che possano attivare il rilevamento, e uncodice dinamicoper generare e manipolare i nomi dei sottodomini, in modo da crearne uno nuovo per ogni obiettivo.

• All'interno di questa pagina, tuttavia, sono incorporati deipuntatoriche indirizzano le vittime verso una pagina di phishing secondaria tramite uniframe.

• La pagina iframe ospita icomponenti di phishing veri e propri. Gli aggressori nascondono i form per acquisire le credenziali all'interno di una funzione distreaming di immaginiprogettata per file di grandi dimensioni, rendendo difficile il rilevamento dell'attacco da parte degli scanner statici, che in genere cercano moduli di phishinghardcoded(già presenti nel codice).

• Il design dell'iframe consente agli aggressori disostituire facilmente il contenuto di phishing, provare nuove tecniche o prendere di mira regioni specifiche, il tutto senza modificare la pagina web principale che propaga il kit. Aggiornando semplicemente il punto di riferimento dell'iframe, il kit può evitare di essere rilevato dagli strumenti di sicurezza che controllano solo la pagina esterna.

• Come altri kit di phishing di nuova generazione, GhostFrameostacola e interrompe in modo aggressivo l'ispezione. Tra le altre azioni, blocca il clic destro del mouse, il tasto F12 della tastiera (utilizzato dagli strumenti per sviluppatori) e il tasto Invio, e disabilita le comuni scorciatoie da tastiera come Ctrl/Cmd e Ctrl/Cmd+Shift, che servono ai cybersecurity analyst per visualizzare il codice sorgente, salvare la pagina o aprire gli strumenti per sviluppatori.

Il contenuto delle e-mail di phishing di GhostFrame utilizzatemi aziendali tipici, come false offerte commerciali e comunicazioni che impersonano le risorse umane. Alla stregua di altre e-mail di phishing, anche questi messaggi sono progettati perindurre i destinatari a cliccare su link pericolosio scaricare file dannosi.

“La scoperta di GhostFrame evidenzia l’evoluzione rapida e sofisticata dei kit di phishing. GhostFrame è il primo esempio che abbiamo riscontrato di una piattaforma di phishing basata quasi interamente sugli iframe, caratteristica che viene sfruttata appieno dai cyber aggressori per aumentare la flessibilità dell’attacco ed eludere il rilevamento”, affermaSaravanan Mohankumar, manager threat analysis team di Barracuda. “Per proteggersi, le organizzazioni devono superare le difese statiche e adottare strategie multilivello: formazione degli utenti, aggiornamenti regolari del browser, strumenti di sicurezza per rilevare iframe sospetti, monitoraggio continuo e condivisione delle informazioni sulle minacce”.