Barracuda full logo

Threat Spotlight: Introduzione a GhostFrame, un nuovo kit di phishing super furtivo

Argomenti:
4 dic 2025
|
Threat Analyst Team

Un kit ingannevolmente semplice che ha già lanciato un milione di attacchi

Conclusioni

  • Gli analisti delle minacce di Barracuda hanno individuato GhostFrame per la prima volta a settembre.
  • Il codice di phishing è nascosto in un iframe in una pagina HTML dall'aspetto innocuo.
  • Il kit consente facili cambiamenti di contenuto e posizione per aiutare a eludere il rilevamento.
  • Viene utilizzato un nuovo sottodominio per ogni vittima.

Nel settembre 2025, gli analisti delle minacce di Barracuda hanno identificato una serie di attacchi di phishing caratterizzati da strumenti e tecniche che non corrispondevano a nessun kit noto di Phishing-as-a-Service (PhaaS). Entro dicembre, il team aveva identificato oltre un milione di attacchi utilizzando questo nuovo kit, che ha chiamato GhostFrame in riconoscimento del suo approccio innovativo e furtivo.

Un nuovo approccio

A differenza della maggior parte dei kit di phishing, GhostFrame utilizza un semplice file HTML che appare innocuo, e tutte le attività dannose avvengono all'interno di un iframe, che è una piccola finestra in una pagina web che può mostrare contenuti da un'altra fonte. Questo approccio fa apparire autentica la pagina di phishing mentre nasconde le sue vere origini e scopi.

Il design dell'iframe consente inoltre agli attaccanti di sostituire facilmente il contenuto di phishing, provare nuovi trucchi o mirare a regioni specifiche, il tutto senza modificare la pagina web principale che distribuisce il kit.

Inoltre, semplicemente aggiornando la destinazione dell'iframe, il kit può evitare di essere rilevato dagli strumenti di sicurezza che controllano solo la pagina esterna.

Sebbene l'abuso di iframe non sia insolito nel phishing, questa è la prima volta che Barracuda ha visto un intero framework di phishing costruito attorno a questa tecnica.

Tattica di attacco a due fasi

La pagina di phishing esterna e principale — il file HTML dall'aspetto innocuo — mostrata agli utenti non include elementi tipici di phishing. Invece, presenta una certa offuscazione di base per nascondere il suo scopo e utilizza codice dinamico per generare e manipolare nomi di sottodomini in modo che ne venga generato uno nuovo per ogni obiettivo.

All'interno di questa pagina, tuttavia, sono incorporati dei puntatori che portano i bersagli a una pagina di phishing secondaria tramite un iframe.

Questa pagina secondaria ospita i componenti effettivi del phishing. Anche qui, gli attaccanti hanno nascosto i moduli di acquisizione delle credenziali all'interno di una funzionalità di streaming di immagini progettata per file molto grandi (oggetti binari di grandi dimensioni), rendendo difficile per gli scanner statici, che solitamente cercano moduli di phishing codificati in modo statico, rilevare l'attacco.

Questo articolo spiega come funziona in pratica questo metodo in due fasi e perché è così efficace nel raggirare le persone.

L'e-mail di phishing

Il contenuto delle e-mail di GhostFrame passa da argomenti come falsi affari a aggiornamenti HR falsificati. Come altre e-mail di phishing, sono progettate per ingannare i destinatari inducendoli a cliccare su link pericolosi o scaricare file dannosi.

Le righe dell'oggetto recenti includono: "Notifica contratto e proposta sicura", "Promemoria revisione annuale", "Fattura allegata" e "Richiesta di reimpostazione della password".

Analisi tecnica

Varianti

Il codice sorgente del kit esiste in due forme diverse (varianti), che vengono utilizzate contemporaneamente.

Una versione è offuscata, rendendo il codice difficile da leggere e analizzare, mentre l'altra non è offuscata ed è facilmente comprensibile dagli esseri umani. La versione non offuscata, che si vedeva più spesso negli attacchi precedenti, contiene commenti che spiegano le funzionalità del codice.

Sinistra: variante non offuscata e destra: variante offuscata

Anti-analisi e anti-debugging

Il kit di phishing include uno script che ostacola qualsiasi tentativo di ispezione. Tra le altre cose, impedisce il clic destro del mouse, blocca il tasto F12 della tastiera (utilizzato per gli strumenti per sviluppatori) e impedisce le scorciatoie da tastiera comuni come Ctrl/Cmd e Ctrl/Cmd+Shift.

Queste scorciatoie sono solitamente utilizzate dagli analisti di sicurezza per visualizzare il codice sorgente, salvare la pagina o aprire gli strumenti per sviluppatori.

Lo script blocca anche il tasto Invio, rendendo difficile per gli utenti o gli analisti ispezionare o salvare la pagina web.

Prendendo di mira sia i clic del mouse che l'accesso al menu contestuale principale, il kit di phishing assicura che non ci sia modo di accedere al menu contestuale.

Sottodomini casuali per consegnare l'iframe dannoso

Il kit di phishing genera un sottodominio diverso e casuale ogni volta che qualcuno visita il sito.

Per esempio: 7T8vA0c7QdtIIfWXRdq1Uv1JtJedwDUs[.]spectrel-a[.]biz.

Questi indirizzi web (URL) includono un hash e vari parametri, che di solito fungono da token di sessione.

Quando un bersaglio arriva per la prima volta sul sito, l'iframe dannoso rimane nascosto. Appare solo dopo che lo script di caricamento controlla il sottodominio o riceve determinati segnali. Una volta attivato, il loader ascolta le istruzioni dall'iframe, che può quindi modificare il comportamento del browser.

Il loader stesso non visualizza alcun contenuto di phishing. Il suo compito è quello di impostare l'iframe, gestire l'ambiente del browser e rispondere ai messaggi dall'iframe. Ospitando la pagina di phishing su sottodomini in costante cambiamento, gli attaccanti rendono molto più difficile per i sistemi di sicurezza rilevare e bloccare la minaccia.

Convalida dinamica dei sottodomini

Prima di visualizzare il contenuto di phishing, il kit verifica il sottodominio con un codice generato da una chiave incorporata per garantire che si trovi sul sito previsto.

Questo aiuta il kit a distinguere tra infrastruttura di attaccanti genuina e domini di reindirizzamento temporanei. Se il sottodominio supera questo test, gli utenti vedono un'animazione di caricamento. In caso contrario, vengono reindirizzati a un sito web innocuo.

Funzionalità speciali del kit di phishing GhostFrame

Il kit GhostFrame include diverse funzionalità avanzate che lo rendono più efficace e difficile da individuare:

  • Comunicazione tra l'iframe e la pagina principale: Il contenuto falso all'interno dell'iframe utilizza il metodo 'window.postMessage' per informare la pagina di caricamento di apportare modifiche. Questo può includere:
    • Cambiare il titolo della pagina principale per imitare servizi affidabili, come “Accedi al tuo account.”
    • Sostituire il favicon del sito web per rendere la pagina più autentica.
    • Reindirizzare la finestra del browser di livello superiore a un altro dominio se istruito.
    • Sottodomini rotanti durante una sessione per aiutare l'attacco a evitare il rilevamento.
  • Iframe di fallback codificato: Se il JavaScript fallisce o viene bloccato, il kit include un iframe di backup in fondo alla pagina. Questo assicura che il tentativo di phishing possa ancora funzionare, offrendo agli attaccanti un modo affidabile per continuare la loro truffa.
  • Schermate di accesso basate su immagini URI blob: Il kit può visualizzare copie esatte delle pagine di accesso, come quelle di Microsoft 365 o Google, come immagini all'interno dell'iframe piuttosto che HTML regolare. Queste immagini vengono caricate utilizzando un URI blob, che permette loro di apparire direttamente dalla memoria del browser. Gli attaccanti utilizzano una tecnica di doppio buffering per cambiare rapidamente le immagini, rendendo la falsa pagina di accesso ancora più convincente mentre gli utenti interagiscono con essa.

Come difendersi da questa minaccia

È necessario un approccio multilivello per proteggere le e-mail e i dipendenti da GhostFrame e attacchi di phishing simili e furtivi. I seguenti passaggi saranno utili:

  • Imporre aggiornamenti regolari del browser per tutti gli utenti.
  • Istruire i dipendenti a evitare di fare clic su link in e-mail non richieste, a controllare attentamente gli URL prima di inserire le credenziali e a segnalare pagine sospette che sembrano "incorporate" in altri contenuti o che sembrano caricate parzialmente.
  • Distribuire gateway di sicurezza e-mail e filtri web che rilevano iframe sospetti utilizzati nelle e-mail HTML o nelle landing page.
  • Da un punto di vista tecnico, assicurati di avere controlli sul tuo sito web che limitino la capacità dei programmi di caricare o incorporare iframe. Questo impedirà il clickjacking e i frame non autorizzati. Dovresti anche eseguire regolarmente la scansione delle tue applicazioni web per individuare vulnerabilità che consentono l'iniezione di iframe.
  • Monitora la presenza di reindirizzamenti insoliti o contenuti incorporati nel traffico web.

Come Barracuda Email Protection può aiutare la tua organizzazione

Barracuda Email Protection offre una suite completa di funzionalità progettate per difendersi dalle minacce avanzate alle e-mail. Ulteriori informazioni sono disponibili qui.

Ottieni il rapporto sulle violazioni della sicurezza e-mail 2025
Threat Analyst Team

Il Threat Analyst Team di Barracuda si concentra sulla rilevazione, analisi e mitigazione delle minacce emergenti. Dedicato a proteggere i clienti dagli attacchi informatici, il team sfrutta tecnologie avanzate e intelligence sulle minacce per fornire approfondimenti attuabili e strategie di difesa proattive.

Post correlati:
How Curtins built a more mature, security first culture
How Curtins built a more mature, security first culture
 Tendenze recenti nelle tecniche di accesso iniziale: gli exploit delle vulnerabilità sono in cima alla lista
Tendenze recenti nelle tecniche di accesso iniziale: gli exploit delle vulnerabilità sono in cima alla lista
 Threat Spotlight: Come si sono evoluti i kit di phishing nel 2025
Threat Spotlight: Come si sono evoluti i kit di phishing nel 2025
 I 3 principali webinar imperdibili di Barracuda del 2025: Approfondimenti sulla sicurezza on-demand
I 3 principali webinar imperdibili di Barracuda del 2025: Approfondimenti sulla sicurezza on-demand
Cerca nel blog

Rapporto sulle violazioni della sicurezza e-mail 2025

Risultati chiave sull'esperienza e l'impatto delle violazioni della sicurezza e-mail sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

The MSP Customer Insight Report 2025

Uno sguardo globale su ciò di cui le organizzazioni hanno bisogno e vogliono dai loro provider di servizi gestiti per la sicurezza informatica

Scarica il report

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.