Barracuda Research belicht GhostFrame phishingkit

In dit artikel:

Barracuda waarschuwt voor een nieuw, moeilijk te ontdekken phishing‑as‑a‑service (PhaaS)-framework dat onderzoekers sinds september 2025 volgen: GhostFrame. Het opvallende van deze kit is dat bijna alle kwaadaardige activiteiten achter een onschuldig ogend HTML-bestand zitten en plaatsvinden in iframes, waardoor klassieke statische scanners en controles die alleen de hoofdpagina inspecteren vaak niets verdachts vinden. Tot nu toe zijn meer dan een miljoen aanvallen aan GhostFrame gekoppeld.

Technisch werkt het zo: de verspreide webpagina bevat geen zichtbare phishingcontent maar genereert dynamisch subdomeinen en bevat ‘pointers’ naar een secundaire iframe-pagina. Die iframe-host draagt de echte phishingcomponenten; inlogformulieren worden bijvoorbeeld verstopt in een functie bedoeld voor het streamen van grote afbeeldingsbestanden, waardoor detectie door signature‑scanners wordt omzeild. Aanvallers kunnen snel de iframe-doelen wijzigen om nieuwe trucs te testen of regio’s te targeten zonder de hoofdpagina aan te passen.

GhostFrame gooit ook hinderlagen op voor onderzoekers: rechtsklik, F12, Enter en veelgebruikte sneltoetsen worden geblokkeerd om broncodeanalyse en het openen van ontwikkeltools te bemoeilijken. De gebruikte e‑mails lijken op traditionele phishinglures zoals valse zakelijke aanbiedingen en HR‑updates.

Barracuda benadrukt dat dit het eerste volledige phishing‑framework is dat zij zien dat grotendeels op iframes rust. De aanbevolen verdediging bestaat uit meerlaagse maatregelen: gebruikerstraining, regelmatige browserupdates, securitytools die verdachte iframes detecteren, continue monitoring en delen van dreigingsinformatie. Barracuda publiceerde een uitgebreide technische analyse op hun blog.