Un nuevo framework de phishing llamado GhostFrame, construido alrededor de una sigilosa arquitectura de iframe, ha sido vinculado a más de un millón de ataques, según descubrieron expertos en ciberseguridad de Barracuda.
Este kit de ataque se distingue de las ofertas de Phishing-as-a-Service (PhaaS) conocidas por su enfoque innovador en la evasión y el engaño.
¿Cómo Funciona GhostFrame?
El diseño de GhostFrame se centra en un archivo HTML simple que se presenta como una página de aterrizaje inofensiva, mientras oculta su comportamiento malicioso dentro de un iframe incrustado. Esta estructura permite a los atacantes:
- Intercambiar contenido de phishing: El contenido real de phishing puede ser ajustado o cambiado sin modificar la página visible.
- Ajustar objetivos regionales: Permite a los atacantes personalizar la campaña según la ubicación de la víctima.
- Evadir escáneres: La página externa no presenta los marcadores típicos de phishing, dificultando la detección por parte de las herramientas de seguridad.
Barracuda señala que, aunque el abuso de iframes es común, esta es la primera vez que se identifica un framework de phishing completo estructurado en torno a esta técnica.
La Cadena de Ataque y Técnicas de Evasión
La cadena de ataque de GhostFrame se desarrolla en dos etapas. La página externa visible se apoya en una ligera ofuscación y código dinámico que genera un nuevo subdominio para cada visitante.
Oculta en el código externo, una serie de punteros carga una página de phishing secundaria dentro del iframe. Esta página interna contiene los componentes reales de recolección de credenciales. Los atacantes han ocultado este código malicioso dentro de una función diseñada para la transmisión de archivos muy grandes, lo que le permite eludir las herramientas de detección estática.
El kit utiliza correos electrónicos con temas variados, desde avisos de contratos falsos hasta actualizaciones de recursos humanos. Las líneas de asunto incluyen “Notificación de Contrato y Propuesta Segura”, “Recordatorio de Revisión Anual” o “Solicitud de Restablecimiento de Contraseña”.
Controles Anti-Análisis y Muestras de Código
Barracuda identificó dos formas del código fuente de GhostFrame: una ofuscada y otra legible, la última de las cuales contiene comentarios del desarrollador.
El kit de phishing incorpora rigurosos controles anti-análisis para obstaculizar la inspección por parte de investigadores y analistas:
- Bloqueo de atajos de teclado: Deshabilita acciones como F12, clic derecho y otros atajos comunes utilizados para inspeccionar el código de la página.
- Restricción de interacción: Limita la tecla Enter, impidiendo intentos de guardar o examinar la página fácilmente.
GhostFrame también utiliza subdominios aleatorios para la entrega. Un script de carga valida cada subdominio antes de revelar el iframe malicioso y gestiona el entorno del navegador en función de los mensajes enviados desde el iframe. Si los scripts fallan, un iframe de reserva codificado garantiza que el ataque continúe.
Medidas Defensivas Recomendadas
Para defenderse contra GhostFrame y amenazas similares, Barracuda recomienda una estrategia de seguridad de múltiples capas:
- Actualizaciones regulares de navegadores: Asegurar que los navegadores web estén actualizados para mitigar vulnerabilidades conocidas.
- Capacitación de personal: Educar a los empleados para evitar enlaces no solicitados y verificar cuidadosamente las URLs.
- Implementación de filtros: Desplegar pasarelas de correo electrónico y filtros web para identificar iframes sospechosos.
- Restricción de iframes: Limitar la incrustación de iframes en sitios corporativos y escanear en busca de riesgos de inyección.
- Monitoreo de red: Vigilar la red en busca de redirecciones inusuales o contenido incrustado sospechoso.
Un enfoque de seguridad por capas es fundamental para proteger tanto los correos electrónicos como a los empleados contra GhostFrame y otros ataques de phishing sigilosos.