GhostFrame, noua escrocherie digitală care ocolește antivirusul și golește conturile utilizatorilor

Peisajul amenințărilor cibernetice continuă să evolueze rapid, iar metodele folosite de atacatori devin din ce în ce mai greu de detectat. Un nou tip de atac de tip phishing, denumit GhostFrame, a atras atenția specialiștilor în securitate după ce a demonstrat o capacitate alarmantă de a păcăli soluțiile antivirus clasice și de a fura date sensibile într-un timp foarte scurt.

Spre deosebire de escrocheriile digitale clasice, care lasă urme ușor de identificat în codul paginilor web sau în fișierele descărcate, GhostFrame operează aproape invizibil. Tocmai această discreție îl transformă într-un pericol major atât pentru utilizatorii individuali, cât și pentru companiile care se bazează pe sisteme automate de protecție, scrie publicația Computer Hoy.

Cum funcționează GhostFrame și de ce nu este detectat

Conform cercetărilor realizate de Barracuda Research, una dintre cele mai cunoscute companii din domeniul securității cibernetice, GhostFrame a fost implicat în peste un milion de tentative de atac detectate începând din septembrie 2025. Specialiștii avertizează că nu este vorba despre un malware clasic, ci despre un kit de phishing construit într-un mod neobișnuit.

Mecanismul central al acestei escrocherii se bazează aproape exclusiv pe utilizarea iframe-urilor. În mod normal, iframe-urile sunt elemente legitime ale paginilor web, folosite pentru a încărca conținut extern, precum videoclipuri sau formulare. GhostFrame exploatează tocmai această normalitate.

Utilizatorul este direcționat către o pagină web aparent sigură, al cărei cod HTML nu conține elemente suspecte. Din acest motiv, majoritatea programelor antivirus nu identifică nimic periculos. În realitate, conținutul malițios este încărcat separat, într-un iframe invizibil, unde sunt ascunse formularele care colectează parole și date de autentificare.

Simplitatea structurii este cheia succesului. Fără scripturi complicate sau cod evident periculos, GhostFrame reușește să rămână sub radarul sistemelor de securitate, păcălind inclusiv utilizatorii cu experiență.

O amenințare adaptivă, greu de blocat la timp

Un alt element care face GhostFrame extrem de periculos este modul în care se adaptează în timp real. Pentru fiecare victimă, kitul generează subdomenii unice, astfel încât fiecare atac pare diferit din punct de vedere tehnic. Această strategie face aproape imposibilă blocarea rapidă a adreselor URL folosite, deoarece până când o pagină este raportată, atacatorii folosesc deja alta.

Mai mult, GhostFrame limitează activ orice încercare de analiză. După accesarea paginii, utilizatorul nu mai poate folosi clic dreapta, tasta F12 sau combinații de taste precum Ctrl ori Cmd, care ar permite inspectarea codului sursă. Aceste restricții împiedică atât utilizatorii avansați, cât și analiștii de securitate să observe rapid ce se întâmplă în fundal.

Scopul final al atacului rămâne unul clasic: furtul de acreditări. Odată obținute datele de autentificare, atacatorii pot prelua conturi personale sau corporative, pot lansa escrocherii secundare sau pot facilita atacuri la scară largă.

Experții de la Barracuda avertizează că GhostFrame marchează un moment de cotitură în evoluția phishing-ului. Potrivit lui Saravanan Mohankumar, directorul echipei de analiză a amenințărilor din cadrul companiei, este primul exemplu clar de platformă de phishing construită aproape exclusiv în jurul iframe-urilor, exploatate la maximum pentru a evita detectarea.

Pe termen mediu, specialiștii se așteaptă ca această abordare să fie preluată și adaptată de alți atacatori. Tehnicile folosite sunt modulare, ușor de replicat și extrem de greu de observat, ceea ce le face ideale pentru viitoarele campanii de fraudă online.

În acest context, GhostFrame reprezintă un semnal de alarmă clar: soluțiile tradiționale de securitate nu mai sunt suficiente, iar utilizatorii trebuie să fie mai atenți ca niciodată la paginile pe care le accesează și la datele pe care le introduc online.