GhostFrame, un kit de phishing invisible que acumula más de un millón de ataques

El panorama del phishing entra en una nueva fase de sofisticación con GhostFrame, un kit de phishing evasivo y sigiloso que marca un antes y un después en la evolución del cibercrimen. Se trata del primer marco de phishing construido íntegramente sobre la técnica de iframes, pequeñas ventanas dentro de una página web que muestran contenido externo y que, en este caso, ocultan la actividad maliciosa. Desde septiembre, los analistas de amenazas han registrado más de un millón de intentos vinculados a este kit.

 

Evasión y bloqueo de herramientas de análisis

El funcionamiento de GhostFrame es aparentemente sencillo, pero muy eficaz. A diferencia de otros kits, utiliza un archivo HTML externo que parece inofensivo y no activa las alertas de detección. Toda la actividad maliciosa se desarrolla dentro del iframe, lo que hace que la página de phishing parezca legítima y dificulta rastrear su verdadero origen. Además, el kit genera dinámicamente subdominios únicos para cada objetivo, aumentando su capacidad de evasión.

Entre sus características más destacadas se encuentra la capacidad de ocultar formularios de captura de credenciales dentro de transmisiones de imágenes de gran tamaño, lo que complica la labor de los escáneres estáticos. El diseño modular de iframe permite a los atacantes cambiar el contenido de phishing sin modificar la página principal, probar nuevas técnicas o dirigir ataques a regiones específicas con gran rapidez.

GhostFrame también incorpora mecanismos para bloquear la inspección de seguridad: desactiva el clic derecho del ratón, la tecla F12 y atajos comunes como Ctrl/Cmd, impidiendo que los analistas accedan al código fuente o utilicen herramientas de desarrollo. Los correos electrónicos asociados a este kit alternan entre temáticas clásicas de phishing, como falsos acuerdos comerciales o actualizaciones de recursos humanos, diseñadas para engañar a los destinatarios y llevarlos a enlaces peligrosos.

Saravanan Mohankumar, director del equipo de análisis de amenazas de Barracuda, destaca que “GhostFrame es el primer ejemplo que hemos visto de una plataforma de phishing basada casi exclusivamente en iframes, y los atacantes aprovechan al máximo esta característica para aumentar la flexibilidad y evadir la detección”. El experto subrayó que las organizaciones deben ir más allá de las defensas estáticas y adoptar estrategias multicapa, que incluyan formación de usuarios, actualizaciones periódicas de navegadores, herramientas de seguridad capaces de detectar iframes sospechosos, supervisión continua e intercambio de información sobre amenazas.