Хакеры провели миллион атак с помощью фишинговой платформы GhostFrame

Специалисты по кибербезопасности из компании Barracuda нашли новую фишинговую платформу под названием GhostFrame. Она была использована для проведения 1 млн кибератак. Система построена на скрытой iframe-архитектуре и применяет методы, отличные от известных предложений в формате «фишинга как услуги» (Phishing-as-a-Service, PhaaS). По словам экспертов кибербеза, атаки через iframe известны давно, но впервые на их основе создали целую систему для фишинга.

Основой GhostFrame выступает простой HTML-файл. Платформа выглядит как обычная страница, но внутри прячется вредоносный код во встроенном iframe. Именно эта схема позволяет мошенникам менять содержимое страницы, выбирать жертв по регионам и обманывать защитные программы. На невидимой части страницы спрятаны ссылки, которые загружают вторую фишинговую страницу во встроенном iframe. Здесь находятся инструменты для кражи учётных данных. Они замаскированы под функцию передачи больших файлов, чтобы обмануть защитные программы.

В систему встроена защита от анализа. Она отключает действия по правой кнопке мыши, блокирует клавишу F12 и останавливает популярные сочетания клавиш, которые используются для просмотра кода страницы. Даже клавиша Enter заблокирована.

По словам исследователей кибербеза, GhostFrame использует случайные поддомены для рассылки. Программа-загрузчик проверяет каждый поддомен, перед тем как показать вредоносный iframe. Затем она управляет окружением браузера на основе сообщений, которые приходят изнутри iframe. Если программы не срабатывают, запускается заранее встроенный резервный iframe, который гарантирует продолжение атаки.

Электронные письма на фишинговой платформе могут быть разными по темам. Например, в теме письма может быть написано про заключение контракта, про ежегодную проверку сотрудников или про сброс пароля.