GhostFrame – en ny, unnvikende phishing-pakke som står bak over en million angrep

9. desember 2025

GhostFrame – GhostFrame – en ny, unnvikende phishing-pakke bak over en million angrep | IT-bransjen

GhostFrame – en ny, unnvikende phishing-pakke som står bak over en million angrep – Publisert av IT-Branschen

En ny avansert phishing-pakke har blitt koblet til over en million angrep globalt på kort tid. Ifølge en ny rapport fra Barracuda utnytter trusselaktører et sofistikert phishing-as-a-service-rammeverk kalt Spøkelsesramme. Teknologien er nesten utelukkende basert på såkalte iframes, noe som gjør angrepene ekstremt vanskelige å oppdage og svært effektive mot både bedrifter og enkeltpersoner.

Et nytt teknologisk sprang innen phishing

GhostFrame har blitt fulgt av Barracuda siden september 2025 og representerer et klart teknologisk sprang innen moderne nettkriminalitet. I motsetning til tradisjonelle phishing-sett, som ofte består av fullstendig falske innloggingssider, bruker GhostFrame en veldig enkel ekstern struktur.

Offeret blir ofte møtt med en tilsynelatende harmløs HTML-side. Den faktiske skadelige koden lastes i stedet inn via en skjult iframe, et lite innebygd vindu som henter innhold fra en annen server. Dette holder den skadelige delen av angrepet usynlig for både brukeren og mange. sikkerhetsløsninger.

Det er den første tiden Barracuda observerer et helt phishing-rammeverk som nesten utelukkende er basert på denne teknikken.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--73f729f4-5b61-41ac-a096-9d716eec4b3d/ts-ghostframe-fig4.jpg?preferwebp=true&quality=95&width=1024

Hvordan GhostFrame fungerer i praksis

Når brukeren klikker på en lenke i en phishing-e-post, lastes den eksterne HTML-siden først. Denne siden mangler ofte tydelige tegn på phishing og kan enkelt passere gjennom tradisjonelle sikkerhetsfiltre. Selve phishing-innholdet hentes deretter via iframe-en fra en ekstern server kontrollert av angriperne.

Dette gjør at den visuelle opplevelsen for brukeren virker legitim, mens selve kommunikasjonen foregår gjennom angripernes infrastruktur. Teknologien lar også angripere raskt endre innhold, teste nye angrepsmetoder og målrette forskjellige regioner uten å måtte endre den eksterne siden.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--eb9e2d07-b9b9-4aa0-abf8-3658732d946f/ts-ghostframe-fig5.jpg?preferwebp=true&quality=95&width=1024

Dynamiske underdomener og aktiv beskyttelse mot gransking

GhostFrame bruker også dynamisk genererte underdomener. For hver ny angrep, opprettes nye adresser automatisk, noe som gjør det betydelig vanskeligere å blokkere angrepene gjennom tradisjonell svartelisting.

Plattformen inkluderer også aktiv beskyttelse mot teknisk analyse. Funksjoner som høyreklikk, F12-tasten og vanlige hurtigtaster for å vise Kildekode og utviklerverktøy er blokkert. Dette gjør arbeidet til både sikkerhetsanalytikere og automatiserte analyseverktøy vanskeligere.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--7383d614-f7cf-4db0-bbad-d32ff1bef4a8/ts-ghostframe-fig6.jpg?preferwebp=true&quality=95&width=1024

Phishing-e-poster følger klassiske temaer

E-postene som brukes med GhostFrame varierer, men er ofte basert på klassiske temaer for sosial manipulering. De kan inkludere påståtte forretningsforslag, falske HR-utsendelser, falske fakturaer eller leveringsvarsler.

Målet er, som alltid, å få mottakeren til å klikke på en ondsinnet lenke eller laste ned en fil som fører til tyveri av innloggingsdetaljer, spredning av skadelig programvare eller ytterligere angrep på bedriftsnettverk.

Barracuda advarer om rask spredning

Saravanan Mohankumar på Barrakudaer Trusselanalyseteamet beskriver utviklingen som ytterligere bevis på hvor raskt phishing-plattformer blir stadig mer sofistikerte.

Han mener at Spøkelsesramme viser hvordan angripere i dag bygger modulære systemer som raskt kan gjenbrukes, tilpasses og skaleres opp. Phishing-as-a-service-modellen gjør det også mulig for selv mindre teknisk kyndige aktører å utføre svært avanserte angrep.

Dette risikerer å føre til et kraftig økt volum av phishing-angrep av høy kvalitet mot virksomhet over hele verden.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--041a8179-c14f-4c56-acd3-98999b2ed6df/ts-ghostframe-fig7.jpg?preferwebp=true&quality=95&width=1024

Bedrifter må jobbe i flere sikkerhetslag

For organisasjoner betyr denne utviklingen at tradisjonell statisk beskyttelse ikke lenger er nok. Sikkerhetsarbeidet må bygges i flere lag der e-postbeskyttelse, nettsikkerhet, atferdsanalyse og kontinuerlige systemoppdateringer samhandler.

Like viktig er opplæring av ansatte. Etter hvert som phishing-angrep blir mer sofistikerte, øker også behovet for brukerbevissthet. Mistenkelige e-poster må identifiseres og rapporteres raskt for å minimere skade.

Barracuda fremhever også viktigheten av trusseldeling og samarbeid mellom organisasjoner. Ved raskt å spre informasjon om nye angrepsmønstre kan flere beskytte seg selv før kampanjene blir utbredt.

En klar trussel frem mot 2026

GhostFrame viser tydelig hvordan phishing nå utvikler seg til å bli mer dynamisk, vanskeligere å analysere og fleksibel plattformer. For svenske selskaper som allerede står overfor et kraftig økende trussellandskap, er dette nok en grunn til å prioritere IT-sikkerhet høyest i 2026.

Angripere blir raskere, smartere og mer organiserte. Dette betyr at forsvarssiden også må heve sitt tekniske nivå, samarbeid og beredskap.