New GhostFrame Phishing Framework Hits Over One Million Attacks
新闻 - 2025年12月4日
作者:Alessandro Mascellino,新闻记者
一个名为GhostFrame的新型钓鱼框架,围绕隐蔽的iframe架构构建,已被关联到超过一百万次攻击。 该工具包由Barracuda的网络安全专家发现,其采用的技术与已知的“钓鱼即服务”(PhaaS)产品不同。
GhostFrame如何运作
GhostFrame设计的核心是一个简单的HTML文件,它伪装成一个良性的着陆页,同时将恶意行为隐藏在一个嵌入的iframe内。 这种结构允许攻击者在不更改对外展示页面的情况下,更换钓鱼内容、调整区域目标或逃避扫描器。Barracuda报告称,虽然滥用iframe很常见,但这是首次出现整个钓鱼框架围绕此结构构建。
GhostFrame的攻击链条分两个阶段展开。可见的外部页面不包含典型的钓鱼标记,并依赖于轻度混淆以及为每位访客生成新子域的动态代码。 隐藏其中的是指针,用于在iframe内加载一个次要的钓鱼页面。这个内部页面包含了实际的凭证窃取组件,这些组件被埋藏在一个旨在流式传输超大文件以规避静态检测工具的功能中。
该工具包的电子邮件内容差异很大,在诸如虚假合同通知或人力资源更新等主题之间切换。主题行包括“安全合同与提案通知”、“年度审查提醒”、“发票附件”和“密码重置请求”。
Barracuda识别了GhostFrame源代码的两种形式:一种经过混淆,一种可读,后者包含开发者注释。 该工具包包含反分析控制,可禁用右键操作、屏蔽F12键并阻止用于检查页面代码的常见快捷键。甚至Enter键也受到限制,从而限制了尝试保存或检查页面的行为。
GhostFrame还使用随机子域名进行交付。一个加载器脚本在显示恶意iframe之前验证每个子域名,然后根据从iframe内部发送的消息管理浏览器环境。如果脚本失败,一个硬编码的备用iframe可确保攻击继续进行。
防御措施
为了防御类似威胁,Barracuda建议采取包含以下内容的策略:
- 强制实施定期浏览器更新
- 培训员工避免点击未经请求的链接并仔细检查URL
- 部署电子邮件网关和网页过滤器以识别可疑的iframe
- 在公司网站上限制iframe嵌入,并扫描注入风险
- 监控异常的重定向或嵌入内容
“需要一种多层次的方法来保护电子邮件和员工免受GhostFrame及类似隐蔽钓鱼攻击的侵害,”该公司总结道。