GhostFrame: kit de phishing invisível usado em mais de 1 milhão de ataques
Introdução
Pesquisadores da Barracuda descobriram um kit de phishing denominado GhostFrame que, segundo o relatório, já foi utilizado em mais de 1 milhão de campanhas. O kit representa uma evolução em modelos de phishing-as-a-service por combinar simplicidade do deploy com mecanismos de evasão robustos.
Descoberta e escopo / O que mudou agora
O GhostFrame foi identificado inicialmente em setembro de 2025. O material técnico disponível descreve uso extensivo de um arquivo HTML aparentemente inocente que, na prática, abriga um iframe invisível — esse iframe carrega o conteúdo de phishing a partir de subdomínios que podem mudar constantemente.
Vetor e exploração / Mitigações
O vetor clássico é e-mail de phishing com assuntos enganosos (ex.: “Secure Contract & Proposal Notification”, “Password Reset Request”). Ao clicar no link, a vítima chega a uma página que parece legítima; por trás, um iframe invisível serve o formulário de credenciais ou conteúdo malicioso. Para dificultar análise, o kit implementa controles que bloqueiam clique direito, atalhos de teclado e ferramentas de desenvolvedor; assim, analistas e usuários empíricos têm dificuldade para inspecionar a página.
Outras técnicas do GhostFrame descritas pelo relatório incluem:
- rotacionamento de subdomínios por alvo (um subdomínio único por vítima) para reduzir detecção por reputação;
- uso de função de “image-streaming” para ocultar formulários de login dentro de fluxos de imagens, contornando scanners que procuram elementos de formulário tradicionais;
- backups em iframes alternativos para contornar bloqueio de JavaScript;
- alteração dinâmica de título de página e favicon para mimetizar serviços legítimos.
Barracuda recomenda defesa em camadas: atualização regular de navegadores, gateways de e-mail capazes de inspecionar iframes e políticas que limitem uso de iframes em páginas públicas. Treinamento de usuários para verificação de URLs e procedimentos de reporte também são destacados.
Impacto e alcance / Setores afetados
O uso reportado em mais de 1 milhão de ataques indica ampla adoção do kit entre operadores de phishing. Por seu design, o GhostFrame pode atender campanhas globais e segmentadas (setores corporativos, serviços financeiros, plataformas SaaS), especialmente quando combinado com subdomínios exclusivos por alvo.
Limites das informações / O que falta saber
O artigo resume as capacidades técnicas e recomendações da Barracuda, mas não fornece métricas detalhadas por setor, regiões mais afetadas nem indicadores de compromisso (IOCs) públicos no texto consultado. Para bloqueio proativo em ambientes corporativos é necessário obter listas de domínios e amostras diretamente das notas técnicas da Barracuda.
Repercussão / Próximos passos
Equipes de defesa devem ajustar controles de e-mail e web para identificar iframes invisíveis, aplicar políticas de restrição e reforçar a formação de usuários. Fornecedores de segurança devem avaliar capacidades de detecção baseadas em comportamento (rotacionamento de subdomínios, image-streaming) e compartilhar IOCs assim que disponíveis.
Referências
- Relato técnico e recomendações publicadas pela Barracuda e repercutidas pelo Cyber Security News.