Миллион атак за квартал, ноль детекта. В чем секрет «невидимого окна» GhostFrame

GhostFrame — новый фишинговый инструмент, который за три месяца успел провести уже более миллиона атак, использует обманчиво простой HTML-файл и скрытый iframe, чтобы подменять контент на лету и ускользать от защиты. Специалисты Barracuda впервые обнаружили его в сентябре, а к декабрю стало ясно: перед ними полноценный PhaaS-фреймворк нового поколения, полностью построенный вокруг невидимого «окна» внутри страницы.

Внешняя страница GhostFrame выглядит безобидно — никакой явной фишинговой разметки, лишь слегка запутанный код, который динамически создаёт уникальный поддомен для каждого посетителя. На первый взгляд это обычный HTML-файл, но внутри него спрятаны указатели на вторую, настоящую фишинговую страницу, загружаемую через iframe. Именно там находятся механизмы для кражи данных, но и они скрыты: формы ввода упакованы в поток изображений на базе blob URI, что делает их практически невидимыми для статического анализа.

Такой подход позволяет злоумышленникам менять фишинговый контент, подстраивать его под регион и обновлять инфраструктуру, не изменяя внешний файл. Защитные системы, проверяющие лишь основной HTML, практически не видят атаки. Фреймворк также проверяет корректность поддомена по внутреннему ключу, чтобы отличать реальную инфраструктуру от случайных перенаправлений — если проверка не проходит, жертву отправляют на безвредный сайт.

GhostFrame включает обширные антиотладочные функции: запрещает правый клик, блокирует клавиши F12, Enter и сочетания, связанные с инструментами разработчика, не позволяя исследователям открыть исходный код или сохранить страницу. Между iframe и внешней страницей настроена активная коммуникация: фейковый контент может менять заголовок вкладки, подбирать favicon доверенных сервисов, перенаправлять браузер и даже вращать поддомены прямо во время сессии, постоянно сбрасывая следы.

Для надёжности добавлен и резервный iframe — если основной скрипт заблокирован, фишинговая атака запускается через запасной механизм. А благодаря использованию изображений-дубликатов логин-страниц Microsoft 365 или Google, обновляемых методом «двойной буферизации», подделка выглядит полностью интерактивной и реалистичной.

Фишинговые письма GhostFrame варьируются от финансовых приманок до HR-уведомлений. В темах встречаются «Secure Contract & Proposal Notification», «Annual Review Reminder», «Invoice Attached» и «Password Reset Request» — всё, что способно вызвать мгновенную реакцию сотрудника.

Для защиты эксперты советуют регулярно обновлять браузеры, обучать сотрудников внимательному отношению к ссылкам и URL, уделять внимание подозрительным «встроенным» страницам, а также применять почтовые и веб-фильтры, способные выявлять скрытые iframe. На уровне инфраструктуры важно ограничить возможность сторонних ресурсов вставлять фреймы, закрыть уязвимости для iframe-инъекций и отслеживать аномальные перенаправления и встраивания контента.