GhostFrame – en ny och svårupptäckbar phishing-taktik

Barracuda utfärdar en varning om en ny och svårupptäckbar phishing-lösning, kallad GhostFrame. Denna tjänst, som har funnits sedan september 2025, kopplas redan till över en miljon attacker. Genom att använda iframes, små inbäddade fönster på webbsidor, lyckas den kringgå upptäckter. Detta är första gången Barracuda bevittnar en hel plattform för phishing byggd på denna teknik.

Trots sin tekniska enkelhet är GhostFrame mycket effektiv. Till skillnad från många andra phishing-kit använder den en enkel HTML-fil som ser ofarlig ut. All skadlig aktivitet sker inom en iframe, vilket döljer den verkliga källan och syftet bakom sidan.

– Upptäckten av GhostFrame visar hur snabbt och smart moderna nätfiskekit utvecklas. Detta är första gången vi ser en plattform som nästan helt bygger på iframes, och angriparna utnyttjar tekniken fullt ut för att öka flexibiliteten och undvika upptäckter, säger hon.

GhostFrame kännetecknas av en HTML-sida utan uppenbara tecken på phishing. Dynamisk kod genererar nya subdomäner för varje attack, och inbäddade hänvisningar leder användare till en osynlig sida via en iframe. Det är denna sida som innehåller de faktiska phishing-komponenterna.

Designen med iframes ger angriparna möjlighet att enkelt byta innehåll eller rikta in sig på specifika regioner utan att ändra den synliga sidan. Dessutom har den aktiva försvarsmekanismer mot inspektion av koden, som att blockera högerklick och vanliga kortkommandon.

Phishingmejlen som används med GhostFrame varierar men bygger ofta på klassiska teman, som falska affärserbjudanden och påhittade HR-uppdateringar. Målet är alltid att få mottagaren att klicka på skadliga länkar eller ladda ner farliga filer.

– För att skydda sig behöver organisationer gå bortom statiska skydd och arbeta i flera lager: utbilda användare, hålla webbläsare uppdaterade, använda verktyg för att upptäcka misstänkta iframes, samt kontinuerlig övervakning och delad hotinformation, avslutar hon.