Миллион атак за квартал, ноль детекта. В чем секрет «невидимого окна» GhostFrame
NewsMakerGhostFrame меняет поддомены и контент на лету, делая фишинг практически невидимым для защиты.
GhostFrame — новый фишинговый инструмент, который за три месяца успел провести уже более миллиона атак, использует обманчиво простой HTML-файл и скрытый iframe, чтобы подменять контент на лету и ускользать от защиты. Специалисты Barracuda впервые обнаружили его в сентябре, а к декабрю стало ясно: перед ними полноценный PhaaS-фреймворк нового поколения, полностью построенный вокруг невидимого «окна» внутри страницы.
Внешняя страница GhostFrame выглядит безобидно — никакой явной фишинговой разметки, лишь слегка запутанный код, который динамически создаёт уникальный поддомен для каждого посетителя. На первый взгляд это обычный HTML-файл, но внутри него спрятаны указатели на вторую, настоящую фишинговую страницу, загружаемую через iframe. Именно там находятся механизмы для кражи данных, но и они скрыты: формы ввода упакованы в поток изображений на базе blob URI, что делает их практически невидимыми для статического анализа.
Такой подход позволяет злоумышленникам менять фишинговый контент, подстраивать его под регион и обновлять инфраструктуру, не изменяя внешний файл. Защитные системы, проверяющие лишь основной HTML, практически не видят атаки. Фреймворк также проверяет корректность поддомена по внутреннему ключу, чтобы отличать реальную инфраструктуру от случайных перенаправлений — если проверка не проходит, жертву отправляют на безвредный сайт.
GhostFrame включает обширные антиотладочные функции: запрещает правый клик, блокирует клавиши F12, Enter и сочетания, связанные с инструментами разработчика, не позволяя исследователям открыть исходный код или сохранить страницу. Между iframe и внешней страницей настроена активная коммуникация: фейковый контент может менять заголовок вкладки, подбирать favicon доверенных сервисов, перенаправлять браузер и даже вращать поддомены прямо во время сессии, постоянно сбрасывая следы.
GhostFrame — новый фишинговый инструмент, который за три месяца успел провести уже более миллиона атак, использует обманчиво простой HTML-файл и скрытый iframe, чтобы подменять контент на лету и ускользать от защиты. Специалисты Barracuda впервые обнаружили его в сентябре, а к декабрю стало ясно: перед ними полноценный PhaaS-фреймворк нового поколения, полностью построенный вокруг невидимого «окна» внутри страницы.
Внешняя страница GhostFrame выглядит безобидно — никакой явной фишинговой разметки, лишь слегка запутанный код, который динамически создаёт уникальный поддомен для каждого посетителя. На первый взгляд это обычный HTML-файл, но внутри него спрятаны указатели на вторую, настоящую фишинговую страницу, загружаемую через iframe. Именно там находятся механизмы для кражи данных, но и они скрыты: формы ввода упакованы в поток изображений на базе blob URI, что делает их практически невидимыми для статического анализа.
Такой подход позволяет злоумышленникам менять фишинговый контент, подстраивать его под регион и обновлять инфраструктуру, не изменяя внешний файл. Защитные системы, проверяющие лишь основной HTML, практически не видят атаки. Фреймворк также проверяет корректность поддомена по внутреннему ключу, чтобы отличать реальную инфраструктуру от случайных перенаправлений — если проверка не проходит, жертву отправляют на безвредный сайт.
GhostFrame включает обширные антиотладочные функции: запрещает правый клик, блокирует клавиши F12, Enter и сочетания, связанные с инструментами разработчика, не позволяя исследователям открыть исходный код или сохранить страницу. Между iframe и внешней страницей настроена активная коммуникация: фейковый контент может менять заголовок вкладки, подбирать favicon доверенных сервисов, перенаправлять браузер и даже вращать поддомены прямо во время сессии, постоянно сбрасывая следы.