详细内容或原文请订阅后点击阅览
GhostFrame 网络钓鱼工具包助长了针对数百万人的广泛攻击
GhostFrame 使用动态子域和隐藏的 iframe 来帮助攻击者绕过基本的安全工具。
来源:Malwarebytes Labs 博客GhostFrame 是一种新的网络钓鱼即服务 (PhaaS) 套件,自 2025 年 9 月起进行跟踪,已发起超过一百万次网络钓鱼攻击。
威胁分析师发现了一系列网络钓鱼攻击,其中使用了他们以前从未见过的工具和技术。几个月后,他们已经将超过一百万次的尝试与同一个套件联系起来,他们将其命名为 GhostFrame,因为它隐秘地使用了 iframe。该工具包将其恶意活动隐藏在从不断变化的子域加载的 iframe 中。
iframe 是嵌入网页内的小型浏览器窗口,允许从其他网站加载内容,而不会导致您离开,就像嵌入的 YouTube 视频或 Google 地图一样。该嵌入位通常是 iframe,通常是无害的。
GhostFrame 以多种方式滥用它。它为每个受害者动态生成一个唯一的子域,甚至可以在活动会话期间轮换子域,从而破坏基于域的检测和阻止。它还包括一些反分析技巧:禁用右键单击、阻止常见键盘快捷键以及干扰浏览器开发人员工具,这使得分析师或谨慎的用户更难检查幕后发生的事情。
作为 PhaaS 工具包,GhostFrame 能够通过调整页面标题和网站图标以匹配被冒充的品牌来欺骗合法服务。该技术及其检测规避技术展示了 PhaaS 开发人员如何围绕 Web 架构(iframe、子域、流媒体功能)进行创新,而不仅仅是改进电子邮件模板。
通常,图像流或大文件功能只是将大图像或其他“二进制大对象”(BLOB) 有效传输到浏览器的一种方式。 GhostFrame 没有将登录表单直接放在页面上,而是将其转换为看起来像图像数据的内容。对于用户来说,它看起来就像一个真正的 Microsoft 365 登录屏幕,但对于读取 HTML 的基本扫描仪来说,它看起来就像常规的、无害的图像处理。