GhostFrame – en ny, flygtig phishing-pakke bag over en million angreb

9. december 2025

GhostFrame – GhostFrame – en ny, flygtig phishing-pakke bag over en million angreb | IT-branchen

GhostFrame – en ny, flygtig phishing-pakke bag over en million angreb – Udgivet af IT-Branschen

En ny avanceret phishing-pakke er blevet forbundet med over en million angreb globalt på kort tid. Ifølge en ny rapport fra Barracuda udnytter trusselsaktører et sofistikeret phishing-as-a-service-framework kaldet GhostFrame. Teknologien er næsten udelukkende baseret på såkaldte iframes, hvilket gør angrebene ekstremt vanskelige at opdage og meget effektive mod både virksomheder og enkeltpersoner.

Et nyt teknologisk spring inden for phishing

GhostFrame er blevet fulgt af Barracuda siden september 2025 og repræsenterer et klart teknologisk spring inden for moderne cyberkriminalitet. I modsætning til traditionelle phishing-kits, som ofte består af komplette falske login-sider, bruger GhostFrame en meget simpel ekstern struktur.

Offeret bliver ofte mødt med en tilsyneladende harmløs HTML-side. Den egentlige skadelige kode indlæses i stedet via en skjult iframe, et lille indlejret vindue, der henter indhold fra en anden server. Dette holder den skadelige del af angrebet usynlig for både brugeren og mange. sikkerhedsløsninger.

Det er den første tiden Barracuda observerer et helt phishing-framework, der næsten udelukkende er baseret på denne teknik.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--73f729f4-5b61-41ac-a096-9d716eec4b3d/ts-ghostframe-fig4.jpg?preferwebp=true&quality=95&width=1024

Sådan fungerer GhostFrame i praksis

Når brugeren klikker på et link i en phishing-e-mail, indlæses den eksterne HTML-side først. Denne side mangler ofte tydelige tegn på phishing og kan nemt passere gennem traditionelle sikkerhedsfiltre. Selve phishing-indholdet hentes derefter via iframe'en fra en ekstern server, der kontrolleres af angriberne.

Dette får brugerens visuelle oplevelse til at virke legitim, mens selve kommunikationen foregår gennem angribernes infrastruktur. Teknologien giver også angribere mulighed for hurtigt at ændre indhold, teste nye angrebsmetoder og målrette forskellige regioner uden at skulle ændre den eksterne side.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--eb9e2d07-b9b9-4aa0-abf8-3658732d946f/ts-ghostframe-fig5.jpg?preferwebp=true&quality=95&width=1024

Dynamiske underdomæner og aktiv beskyttelse mod granskning

GhostFrame bruger også dynamisk genererede underdomæner. For hver ny angreb oprettes nye adresser automatisk, hvilket gør det betydeligt vanskeligere at blokere angrebene gennem traditionel blacklisting.

Platformen inkluderer også aktiv beskyttelse mod teknisk analyse. Funktioner som højreklik, F12-tasten og almindelige tastaturgenveje til vise Kildekode og udviklerværktøjer er blokeret. Dette gør arbejdet for både sikkerhedsanalytikere og automatiserede analyseværktøjer vanskeligere.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--7383d614-f7cf-4db0-bbad-d32ff1bef4a8/ts-ghostframe-fig6.jpg?preferwebp=true&quality=95&width=1024

Phishing-e-mails følger klassiske temaer

De e-mails, der bruges med GhostFrame, varierer, men er ofte baseret på klassiske social engineering-temaer. De kan omfatte påståede forretningsforslag, falske HR-forsendelser, falske fakturaer eller leveringsmeddelelser.

Målet er som altid at få modtageren til at klikke på et ondsindet link eller downloade en fil, der fører til tyveri af loginoplysninger, spredning af malware eller yderligere angreb på virksomhedsnetværk.

Barracuda advarer om hurtig spredning

Saravanan Mohankumar på Barracudaer Trusselsanalyseteamet beskriver udviklingen som yderligere bevis på, hvor hurtigt phishing-platforme bliver mere og mere sofistikerede.

Han mener, at GhostFrame viser, hvordan angribere i dag bygger modulære systemer, der hurtigt kan genbruges, tilpasses og skaleres op. Phishing-as-a-service-modellen gør det også muligt for selv mindre teknisk kyndige aktører at udføre meget avancerede angreb.

Dette risikerer at føre til et stærkt øget antal phishing-angreb af høj kvalitet mod forretning på verdensplan.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--041a8179-c14f-4c56-acd3-98999b2ed6df/ts-ghostframe-fig7.jpg?preferwebp=true&quality=95&width=1024

Virksomheder skal arbejde med flere sikkerhedslag

For organisationer betyder denne udvikling, at traditionel statisk beskyttelse ikke længere er nok. Sikkerhedsindsatsen skal bygges op i flere lag, hvor e-mailbeskyttelse, websikkerhed, adfærdsanalyse og løbende systemopdateringer interagerer.

Lige så vigtigt er medarbejderuddannelse. Efterhånden som phishing-angreb bliver mere sofistikerede, øges også behovet for brugerbevidsthed. Mistænkelige e-mails skal identificeres og rapporteres hurtigt for at minimere skaden.

Barracuda fremhæver også vigtigheden af trusselsdeling og samarbejde mellem organisationer. Ved hurtigt at formidle information om nye angrebsmønstre kan flere mennesker beskytte sig selv, før kampagnerne bliver udbredte.

En klar trussel forud for 2026

GhostFrame viser tydeligt, hvordan phishing nu udvikler sig til mere dynamisk, vanskeligere at analysere og fleksibel platforme. For svenske virksomheder, der allerede står over for et kraftigt stigende trusselsbillede, er dette endnu en grund til at prioritere IT-sikkerhed højeste i 2026.

Angribere bliver hurtigere, klogere og mere organiserede. Det betyder, at forsvarssiden også skal hæve sit tekniske niveau, samarbejde og beredskab.