GhostFrame – ein schwer erkennbares Phishing-Kit

Ein schwer zu erkennendes Phishing-as-a-Service-Kit (PhaaS) hat Barracuda identifiziert. Es versteckt seine schädlichen Inhalte in iframes von Webseiten, um einer Erkennung zu entgehen und Angreifern maximale Flexibilität zu bieten.

Die Bedrohungsanalysten von Barracuda beobachten das neue PhaaS-Kit bereits seit September 2025 und haben ihm den Namen „GhostFrame“ gegeben. Bis dato wurden mehr als eine Million Angriffe diesem Kit zugeschrieben. Dies ist das erste Mal, dass Barracuda ein komplettes Phishing-Framework identifiziert hat, das auf der iframe-Technik basiert.

Die technische Analyse von Barracuda zeigt, dass die Funktionalität von GhostFrame zwar täuschend simpel, aber äußert effektiv ist. Im Gegensatz zu den meisten Phishing-Kits nutzt GhostFrame eine einfache, harmlos erscheinende HTML-Datei und alle schädlichen Aktivitäten finden innerhalb eines iframes statt, einem kleinen Fenster auf einer Webseite, das Inhalte aus einer anderen Quelle anzeigen kann. Auf diese Weise erscheint die Phishing-Webseite legitim, während ihre tatsächliche Natur und ihr Zweck versteckt bleiben.

Die Eigenschaften von GhostFrame umfassen:

• Eine harmlos erscheinende HTML-Datei, die keine Phishing-Inhalte enthält, die eine Erkennung auslösen könnten, und die dynamischen Code nutzt, um Subdomain-Namen zu generieren und zu manipulieren, sodass für jedes Ziel ein neuer Name generiert wird.
• Auf dieser Seite sind jedoch Pointer eingebettet, die die Angriffsziele über einen iframe zu einer sekundären Phishing-Webseite weiterleiten.
• Die sekundäre Seite hostet die eigentlichen Phishing-Komponenten. Angreifer verstecken die Formulare zur Erfassung von Anmeldedaten in einer Bild-Streaming-Funktion, die für sehr große Dateien konzipiert ist, sodass es für statische Scanner, die in der Regel nach fest codierten Phishing-Formularen suchen, schwierig ist, den Phishing-Angriff zu erkennen.
• Das iframe-Design ermöglicht es Angreifern, die Phishing-Inhalte einfach auszutauschen, neue Taktiken auszuprobieren oder nur bestimmte geografische Regionen ins Ziel zu nehmen, ohne die Hauptwebseite zu ändern, über die das Phishing-Kit verbreitet wird. Eine simple Aktualisierung des iframe-Verweises ist ausreichend, um zu vermeiden, dass das Kit von Sicherheits-Tools erkannt wird, die nur die Hauptwebseite überprüfen.
• Wie andere Phishing-Kits der neuen Generationen verhindert bzw. stört GhostFrame Überprüfungsprozesse aktiv. Unter anderem blockiert GhostFrame Rechtsklicks mit der Maus, sperrt auf der Tastatur die F12-Taste, die zum Aufrufen von Entwickler-Tools genutzt wird, sowie die Eingabetaste und gängige Tastenkombinationen wie Strg/Cmd oder Strg/Cmd+Umschalt. Diese Tastenkombinationen werden in der Regel von Bedrohungsanalysten verwendet, um Quellcode anzuzeigen, eine Webseite zu speichern oder Entwickler-Tools aufzurufen.

Der Inhalt der Phishing-E-Mails von GhostFrame umfasst traditionelle Themen wie gefälschte Geschäftsabschlüsse oder HR-Informationen. Wie andere Phishing-E-Mails auch, sind sie darauf ausgelegt, den E-Mail-Empfänger dazu zu verleiten, auf schädliche Links innerhalb der E-Mail zu klicken oder schädliche Dateien herunterzuladen.

Die Entdeckung von GhostFrame verdeutlicht noch einmal, wie rasant und clever sich Phishing-Kits weiterentwickeln. GhostFrame ist das erste Beispiel für eine Phishing-Plattform, die fast ausschließlich auf iframes basiert. Angreifer nutzen diese Funktion, um sich mehr Flexibilität zu verschaffen und der Erkennung zu entgehen.

Um sich davor umfassend zu schützen, können Unternehmen nicht länger auf statische Schutzmaßnahmen vertrauen, sondern müssen mehrschichtige Strategien nutzen: Nutzerschulungen, regelmäßige Browser-Updates, Sicherheitstools zur Erkennung verdächtiger iframes, kontinuierliche Überwachung und Austausch von Informationen zu Bedrohungen.

Saravanan Mohankumar ist Manager im Threat Analysis Team von Barracuda.

Zum Barracuda-Blog