GhostFrame: il primo framework PhaaS interamente basato su iframe

Redazione RHC : 14 Dicembre 2025 09:08

Barracuda ha pubblicato i dettagli di un nuovo kit di phishing-as-a-service (PhaaS) elusivo e stealth che nasconde i contenuti dannosi all’interno di iframe di pagine web per eludere il rilevamento e massimizzare la flessibilità.

È la prima volta che Barracuda rileva un framework di phishing completo costruito attorno alla tecnica degli iframe.

Gli analisti delle minacce monitorano il nuovo PhaaS da settembre 2025 e lo hanno soprannominato GhostFrame. Ad oggi, a questo kit sono stati attribuiti oltre un milione di attacchi.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’analisi tecnica di Barracuda dimostra che la funzionalità di GhostFrame è apparentemente semplice, ma molto efficace.

A differenza della maggior parte dei kit di phishing, GhostFrame utilizza un semplice file HTML apparentemente innocuo, in cui tutte le attività dannose si svolgono all’interno di un iframe, una piccola finestra all’interno di una pagina web che può visualizzare contenuti provenienti da un’altra fonte. Questo approccio fa apparire la pagina di phishing autentica, nascondendone però la vera origine e il vero scopo.

Le caratteristiche più importanti di GhostFrame includono:

• Un file HTML esterno dall’aspetto innocuo che non contiene alcun contenuto di phishing che potrebbe attivare il rilevamento e utilizza codice dinamico per generare e manipolare i nomi dei sottodomini, in modo che ne venga generato uno nuovo per ogni destinazione.
• Tuttavia, all’interno di questa pagina sono presenti dei puntatori incorporati che indirizzano gli utenti a una pagina di phishing secondaria tramite un iframe.
• La pagina iframe ospita i componenti di phishing veri e propri. Gli aggressori nascondono i moduli di acquisizione delle credenziali all’interno di una funzione di streaming di immagini progettata per file di grandi dimensioni, rendendo difficile per gli scanner statici, che in genere cercano moduli di phishing hardcoded, rilevare l’attacco.
• Il design dell’iframe consente agli aggressori di modificare facilmente il contenuto di phishing, testare nuovi trucchi o prendere di mira regioni specifiche, il tutto senza modificare la pagina web principale che distribuisce il kit. Semplicemente aggiornando la destinazione dell’iframe, il kit può eludere il rilevamento da parte degli strumenti di sicurezza che controllano solo la pagina esterna.
• Come altri kit di phishing di nuova generazione, GhostFrame impedisce e interrompe in modo aggressivo l’ispezione. Tra le altre cose, blocca il clic destro del mouse, blocca il tasto F12 (utilizzato per gli strumenti di sviluppo) e il tasto Invio, e impedisce l’uso di scorciatoie da tastiera comuni come Ctrl/Cmd e Ctrl/Cmd+Shift. Queste scorciatoie sono spesso utilizzate dagli analisti della sicurezza per visualizzare il codice sorgente, salvare pagine o aprire strumenti di sviluppo.

Le email di phishing di GhostFrame alternano temi tradizionali, come falsi accordi commerciali e falsi aggiornamenti delle risorse umane. Come altre email di phishing, sono progettate per indurre i destinatari a cliccare su link pericolosi o a scaricare file dannosi.

“La scoperta di GhostFrame evidenzia la rapidità e l’intelligenza con cui i kit di phishing si stanno evolvendo. GhostFrame è il primo esempio che abbiamo visto di una piattaforma di phishing basata quasi esclusivamente su iframe, e gli aggressori stanno sfruttando appieno questa funzionalità per aumentare la flessibilità ed eludere il rilevamento” , ha affermato Saravanan Mohankumar, direttore dell’analisi delle minacce di Barracuda.

“Per rimanere protette, le organizzazioni devono andare oltre le difese statiche e adottare strategie multilivello: formazione degli utenti, aggiornamenti regolari del browser, strumenti di sicurezza per rilevare iframe sospetti, monitoraggio continuo e condivisione di informazioni sulle minacce”.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli