GhostFrame: il primo framework phishing-as-a-service basato su iFrame

Barracuda ha scoperto GhostFrame, un kit di phishing-as-a-service che nasconde tutta la propria attività malevola all’interno di un iFrame. Già oltre un milione di attacchi documentati.

Ormai è un dato di fatto che i kit preconfezionati per condurre attacchi è truffe siano divenuti capisaldi dell’infrastruttura criminale. Ogni giorno emergono nuove soluzioni, strategie e metodi di attacco mirati a colpire quanti più dispositivi possibile, sfruttando le principali vulnerabilità non ancora documentate. In tal senso, i ricercatori di Barracuda hanno individuato, nel settembre 2025, una serie di campagne di phishing con caratteristiche tecniche mai viste prima. Dopo due mesi intensi di analisi è emerso che si trattava di un kit completamente nuovo, battezzato GhostFrame.

Cos’è GhostFrame
Come funziona GhostFrame
Le tecniche di evasione
Come difendersi da GhostFrame

GhostFrame che nasconde l'attività malevola in un iFrame

Questo è in grado di celare tutte le sue capacità malevole all’interno di un singolo iFrame, un elemento HTML che i browser usano ogni giorno per incorporare contenuti esterni in una pagina web. Si tratta di una tecnologia legittima e diffusissima, elementi che l’hanno resa lo strumento ideale per nascondersi.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è GhostFrame

Come anticipato in fase di introduzione, GhostFrame è un kit di phishing-as-a-service la cui intera architettura ruota attorno al singolo iFrame. Contrariamente a quanto avviene nella stragrande maggioranza dei framework PhaaS, GhostFrame mantiene la pagina esterna del tutto priva di contenuti sospetti. Tutto ciò che è pericoloso viene caricato separatamente, all’interno dell’iFrame, da un’infrastruttura esterna. Per uno scanner statico, la pagina principale non presenta alcun elemento degno di attenzione.

La novità documentata da Barracuda è che si tratta del primo framework di phishing interamente incentrato su questa tecnica. GhostFrame non la usa come semplice stratagemma, ma come fondamento dell’intera catena di attacco. Al suo interno sono infatti presenti dei moduli specifici votati alla gestione dei subdomain, rotazione dei payload, comunicazione tra livelli e meccanismi di fallback.

Come funziona GhostFrame

L’attacco di GhostFrame si suddivide in due fasi distinte, progettate per separare il momento del contatto con la vittima dalla compromissione vera e propria.

L’e-mail di phishing

La prima fase inizia con un’e-mail di phishing. I temi utilizzati sono solitamente i classici dell’ingegneria sociale aziendale: notifiche di contratti da firmare, promemoria di revisioni annuali, fatture allegate e richieste di reset della password. Oggetti come “Secure Contract & Proposal Notification” o “Annual Review Reminder” sono adoperati per far apparire l’esca come una comunicazione interna legittima. Quando l’utente segue il link, apre la pagina esterna di GhostFrame.

Questa è un file HTML apparentemente innocuo, dato che non include form di login, né loghi copiati, né tantomeno campi per l’inserimento di credenziali. Ciò che fa davvero lontano dagli occhi dell’utente, è generare dinamicamente un subdomain univoco per ogni visitatore. Quest’ultima è una stringa randomizzata nel formato [hash].dominio.tld, che rende di fatto impossibile il rilevamento basato su pattern di dominio. Prima di procedere, il GhostFrame verifica che il subdomain corrisponda a un codice generato internamente. Se il controllo fallisce, l’utente viene reindirizzato verso un sito legittimo e innocuo, rendendo l’analisi forense molto più difficile.

L’iFrame nascosto

Se il controllo va a buon fine, all’interno della pagina viene attivato l’iFrame nascosto, che carica la pagina secondaria contenente il vero contenuto malevolo. In questo appaiono form di raccolta credenziali e pagine di login false che replicano visivamente interfacce di servizi noti, come Microsoft 365 o Google. Anche qui GhostFrame introduce un ulteriore strato di occultamento. I componenti di raccolta delle credenziali sono nascosti all’interno di un handler per file di grandi dimensioni (Binary Large Object): una funzionalità pensata per gestire lo streaming di file pesanti. Questo stratagemma aggira le normali scansioni statiche, in quanto programmate per cercare contenuti e pattern malevoli in form HTML standard e campi password nel codice della pagina.

La comunicazione tra i due livelli avviene tramite il metodo window.postMessage, in cui l’iFrame invia messaggi alla pagina esterna per modificarne il comportamento in tempo reale. Ciò si traduce nella modifica del titolo della finestra, aggiornamento della favicon per impersonare un servizio specifico o ruotare il subdomain durante la sessione attiva. Gli attaccanti dietro GhostFrame possono cambiare obiettivo, brand impersonato o contenuto del payload semplicemente aggiornando dove punta l’iFrame, senza toccare la pagina esterna. In questo modo, il framework è estremamente adattabile a campagne molto diverse tra loro con il minimo sforzo.

Le tecniche di evasione

L’architettura a due livelli è solo il primo degli strumenti che GhostFrame mette in campo per sfuggire al rilevamento. Il kit include una serie di meccanismi anti-analisi pensati per ostacolare sia l’ispezione automatizzata che quella manuale da parte dei ricercatori di sicurezza.

Il più immediato riguarda gli strumenti di ispezione del browser. GhostFrame blocca attivamente il tasto destro del mouse, il tasto F12 che apre gli strumenti per sviluppatori e le principali combinazioni di tasti usate per analizzare il codice sorgente di una pagina. Chi tenta di capire cosa sta guardando si trova davanti a una pagina che si rifiuta attivamente di essere esaminata.

Sul fronte dell’infrastruttura, la rotazione continua dei subdomain è la misura più efficace contro i sistemi di blocco basati su liste nere. Ogni vittima riceve un subdomain diverso, sostituibile anche nel corso di una sessione attiva. Di fatto, ciò rende inutili le blacklist statiche e obbliga i sistemi di difesa a rilevare comportamenti anomali piuttosto che indirizzi specifici. GhostFrame include anche un iFrame di fallback codificato direttamente nel kit. Se JavaScript viene bloccato o non eseguito correttamente, il framework attiva automaticamente questo secondo iFrame, garantendo che l’attacco prosegua anche in condizioni di esecuzione degradata.

Come difendersi da GhostFrame

Poiché GhostFrame è progettato per aggirare i controlli statici tradizionali, la difesa non può basarsi su un’unica misura. Bisogna che siano coperti sia il perimetro tecnico che il fattore umano. Di seguito sono riportate le misure più efficaci.

Adottare gateway e-mail con rilevamento comportamentale degli iFrame.
I filtri che analizzano il contenuto HTML delle e-mail non bastano contro GhostFrame, perché la pagina esterna non contiene elementi sospetti. Sono necessari strumenti capaci di ispezionare anche il contenuto caricato dinamicamente dagli iFrame incorporati nei messaggi.
Implementare restrizioni all’embedding di iFrame sui propri siti web.
L’intestazione HTTP X-Frame-Options e la direttiva Content-Security-Policy: frame-ancestors impediscono che le proprie pagine vengano caricate all’interno di iFrame di terzi, riducendo il rischio che l’infrastruttura aziendale venga sfruttata come vettore di attacco.
Monitorare il traffico web per subdomain anomali e redirect inattesi.
GhostFrame genera subdomain con stringhe randomizzate e ruota le destinazioni durante le sessioni. Sistemi di analisi del traffico capaci di rilevare questi pattern possono intercettare le campagne prima che raggiungano gli utenti finali.
Formare il personale aziendale a riconoscere le e-mail di phishing.
GhostFrame si affida a temi comuni nell’ambiente lavorativo, come contratti, fatture e revisioni HR, che generano un senso di urgenza. Un dipendente che verifica il mittente e non segue link non attesi, è ancora la prima linea di difesa contro questo tipo di campagne.

In conclusione

GhostFrame dimostra che l’evoluzione dei kit PhaaS passa attraverso la capacità di nascondersi nell’architettura stessa del web. Spostare tutta l’attività malevola in un iFrame, significa sfruttare un elemento che i browser considerano normale e che molti strumenti di sicurezza non ispezionano in profondità. A dicembre 2025 erano stati confermati oltre un milione di attacchi, a dimostrazione che questa strategia è molto efficace.

Difendersi richiede di andare oltre i controlli superficiali e di analizzare il comportamento delle pagine, non solo il loro aspetto esteriore. Perché quando il pericolo impara a nascondersi esattamente dove non si cerca, guardare dove si è sempre guardato non è più sufficiente.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.