Barracuda Networks, fornitore di soluzioni di cybersecurity che offre una protezione completa dalle minacce complesse per aziende di ogni dimensione, ha analizzato e diffuso i dettagli di un nuovo kit di Phishing-as-a-Service (PhaaS) che risulta particolarmente abile nell’eludere le difese senza destare sospetti e che nasconde il contenuto malevolo all’interno degli iframe (ovvero una piccola finestra in una pagina web che può mostrare contenuti provenienti da un’altra fonte) per sfuggire al rilevamento con grande flessibilità. Si tratta della prima volta in cui Barracuda rileva un’intera tattica di phishing basata sull’utilizzo dell’iframe. Questa nuova minaccia, responsabile a oggi di oltre un milione di attacchi, è stata monitorata a partire da settembre 2025 dagli esperti di Barracuda, che l’hanno denominata GhostFrame.
Stando all’analisi tecnica di Barracuda, il funzionamento di GhostFrame è apparentemente semplice, ma altamente efficace e ingannevole. A differenza della maggior parte dei kit di phishing, GhostFrame utilizza un semplice file HTML con sembianze legittime, ma in realtà, tutte le attività dannose avvengono all’interno di un iframe. Questo approccio fa sembrare la pagina di phishing autentica, nascondendone le vere origini e il fine fraudolento.
Di seguito, alcune delle caratteristiche principali di GhostFrame:
- Utilizza un file HTML esterno dall’aspetto innocuo, privo di contenuti di phishing che possano attivare il rilevamento, e un codice dinamico per generare e manipolare i nomi dei sottodomini, in modo da crearne uno nuovo per ogni obiettivo.
- All’interno di questa pagina, tuttavia, sono incorporati dei puntatori che indirizzano le vittime verso una pagina di phishing secondaria tramite un iframe.
- La pagina iframe ospita i componenti di phishing veri e propri. Gli aggressori nascondono i form per acquisire le credenziali all’interno di una funzione di streaming di immagini progettata per file di grandi dimensioni, rendendo difficile il rilevamento dell’attacco da parte degli scanner statici, che in genere cercano moduli di phishing hardcoded (già presenti nel codice).
- Il design dell’iframe consente agli aggressori di sostituire facilmente il contenuto di phishing, provare nuove tecniche o prendere di mira regioni specifiche, il tutto senza modificare la pagina web principale che propaga il kit. Aggiornando semplicemente il punto di riferimento dell’iframe, il kit può evitare di essere rilevato dagli strumenti di sicurezza che controllano solo la pagina esterna.
- Come altri kit di phishing di nuova generazione, GhostFrame ostacola e interrompe in modo aggressivo l’ispezione. Tra le altre azioni, blocca il clic destro del mouse, il tasto F12 della tastiera (utilizzato dagli strumenti per sviluppatori) e il tasto Invio, e disabilita le comuni scorciatoie da tastiera come Ctrl/Cmd e Ctrl/Cmd+Shift, che servono ai cybersecurity analyst per visualizzare il codice sorgente, salvare la pagina o aprire gli strumenti per sviluppatori.
- Il contenuto delle e-mail di phishing di GhostFrame utilizza temi aziendali tipici, come false offerte commerciali e comunicazioni che impersonano le risorse umane. Alla stregua di altre e-mail di phishing, anche questi messaggi sono progettati per indurre i destinatari a cliccare su link pericolosi o scaricare file dannosi.
“La scoperta di GhostFrame evidenzia l’evoluzione rapida e sofisticata dei kit di phishing. GhostFrame è il primo esempio che abbiamo riscontrato di una piattaforma di phishing basata quasi interamente sugli iframe, caratteristica che viene sfruttata appieno dai cyber aggressori per aumentare la flessibilità dell’attacco ed eludere il rilevamento”, afferma Saravanan Mohankumar, Manager Threat Analysis Team di Barracuda. “Per proteggersi, le organizzazioni devono superare le difese statiche e adottare strategie multilivello: formazione degli utenti, aggiornamenti regolari del browser, strumenti di sicurezza per rilevare iframe sospetti, monitoraggio continuo e condivisione delle informazioni sulle minacce”.
