Barracuda ha publicado los detalles de un nuevo kit de phishing como servicio (PhaaS) evasivo y sigiloso que oculta su contenido malicioso en iframes de página web para eludir la detección y maximizar la flexibilidad. Es la primera vez que Barracuda ve un marco de phishing completo construido en torno a la técnica iframe. Los analistas de amenazas llevan rastreando el nuevo PhaaS desde septiembre de 2025 y lo han bautizado como GhostFrame. Hasta la fecha, se atribuyen más de un millón de ataques a este kit.

El análisis técnico de barracuda muestra que la funcionalidad de GhostFrame es aparentemente sencilla, pero muy eficaz.

A diferencia de la mayoría de los kits de phishing, GhostFrame utiliza un sencillo archivo HTML que parece inofensivo, y toda la actividad maliciosa tiene lugar dentro de un iframe, que es una pequeña ventana de una página web que puede mostrar contenido de otra fuente. Este enfoque hace que la página de phishing parezca auténtica, al tiempo que oculta su verdadero origen y propósito.

Las características más destacadas de GhostFrame incluyen:

• Un archivo HTML externo de apariencia inofensiva que no contiene contenido de phishing que pueda activar la detección y utilizar código dinámico para generar y manipular nombres de subdominios, de modo que se genera uno nuevo para cada objetivo.

• Sin embargo, dentro de esta página hay punteros incrustados que llevan a los objetivos a una página secundaria de phishing a través de un iframe.

• La página iframe aloja los componentes reales de phishing. Los atacantes ocultan los formularios de captura de credenciales dentro de una función de transmisión de imágenes diseñada para archivos muy grandes, lo que dificulta la detección del ataque por parte de los escáneres estáticos que suelen buscar formularios de phishing codificados.

• El diseño de iframe permite a los atacantes cambiar fácilmente el contenido de phising, probar nuevos trucos o dirigirse a regiones específicas, todo ello sin cambiar la página web principal que distribuye el kit. Con solo actualizar el destino del iframe, el kit puede evitar ser detectado por las herramientas de seguridad que solo comprueban la página exterior.

• Al igual que otros kits de phishing de nueva generación, GhostFrame previene y perturba agresivamente la inspección. Entre otras cosas, bloquea el clic derecho del ratón, bloquea la tecla F12 del teclado (utiliza para las herramientas de desarrollo) y la tecla Intro, e impide el uso de atajos de teclado comunes como Ctrl/Cmd y Ctrl/Cmd+Shift. Estos atajos suelen ser utilizados por los analistas de seguridad para ver el código fuente, guardar la página o abrir herramientas de desarrollo.

El contenido de los correos electrónicos de phishing de GhostFrame alterna entre temas tradicionales, como falsos acuerdos comerciales y actualizaciones falsas de recursos humanos. Al igual que otros correos electrónicos de phishing, están diseñados para engañar a los destinatarios y que hagan clic en enlaces peligrosos o descarguen archivos dañinos.

“El descubrimiento de GhostFrame pone de relieve la rapidez y la inteligencia con la que están evolucionando los kits de phishing. GhostFrame es el primer ejemplo que hemos visto de una plataforma de phishing basada casi exclusivamente en iframes, y los atacantes aprovechan al máximo esta característica para aumentar la flexibilidad y evadir la detección”, afirma Saravanan Mohankumar, director del equipo de análisis de amenazas de Barracuda. “Para mantenerse protegidas, las organizaciones deben ir más allá de las defensas estáticas y adoptar estrategias multicapa: formación de los usuarios, actualizaciones periódicas del navegador, herramientas de seguridad para detectar iframes sospechosos, supervisión continua e intercambio de información sobre amenazas”.