En ny avansert phishing-pakke har blitt koblet til over en million angrep globalt på kort tid. Ifølge en ny rapport fra Barracuda utnytter trusselaktører et sofistikert phishing-as-a-service-rammeverk kalt Spøkelsesramme. Teknologien er nesten utelukkende basert på såkalte iframes, noe som gjør angrepene ekstremt vanskelige å oppdage og svært effektive mot både bedrifter og enkeltpersoner.
Et nytt teknologisk sprang innen phishing
GhostFrame har blitt fulgt av Barracuda siden september 2025 og representerer et klart teknologisk sprang innen moderne nettkriminalitet. I motsetning til tradisjonelle phishing-sett, som ofte består av fullstendig falske innloggingssider, bruker GhostFrame en veldig enkel ekstern struktur.
Offeret blir ofte møtt med en tilsynelatende harmløs HTML-side. Den faktiske skadelige koden lastes i stedet inn via en skjult iframe, et lite innebygd vindu som henter innhold fra en annen server. Dette holder den skadelige delen av angrepet usynlig for både brukeren og mange sikkerhetsløsninger.
Dette er første gang Barracuda har observert et helt phishing-rammeverk basert nesten utelukkende på denne teknologien.

Hvordan GhostFrame fungerer i praksis
Når brukeren klikker på en lenke i en phishing-e-post, lastes den eksterne HTML-siden først. Denne siden mangler ofte tydelige tegn på phishing og kan enkelt passere gjennom tradisjonelle sikkerhetsfiltre. Selve phishing-innholdet hentes deretter via iframe-en fra en ekstern server kontrollert av angriperne.
Dette gjør at den visuelle opplevelsen for brukeren virker legitim, mens selve kommunikasjonen foregår gjennom angripernes infrastruktur. Teknologien lar også angripere raskt endre innhold, teste nye angrepsmetoder og målrette forskjellige regioner uten å måtte endre den eksterne siden.

Dynamiske underdomener og aktiv beskyttelse mot gransking
GhostFrame bruker også dynamisk genererte underdomener. For hvert nytt angrep opprettes det automatisk nye adresser, noe som gjør det mye vanskeligere å blokkere angrepene gjennom tradisjonell svartelisting.
Plattformen inkluderer også aktiv beskyttelse mot teknisk analyse. Funksjoner som høyreklikk, F12-tasten og vanlige hurtigtaster for å vise Kildekode og utviklerverktøy er blokkert. Dette gjør arbeidet til både sikkerhetsanalytikere og automatiserte analyseverktøy vanskeligere.

Phishing-e-poster følger klassiske temaer
E-postene som brukes med GhostFrame varierer, men er ofte basert på klassiske temaer for sosial manipulering. De kan inkludere påståtte forretningsforslag, falske HR-utsendelser, falske fakturaer eller leveringsvarsler.
Målet er, som alltid, å få mottakeren til å klikke på en ondsinnet lenke eller laste ned en fil som fører til tyveri av påloggingsinformasjon, spredning av ondsinnet kode eller ytterligere angrep på bedriftsnettverk.
Barracuda advarer om rask spredning
Saravanan Mohankumar på Barrakudaer Trusselanalyseteamet beskriver utviklingen som ytterligere bevis på hvor raskt phishing-plattformer blir stadig mer sofistikerte.
Han mener at Spøkelsesramme viser hvordan angripere i dag bygger modulære systemer som raskt kan gjenbrukes, tilpasses og skaleres opp. Phishing-as-a-service-modellen gjør det også mulig for selv mindre teknisk kyndige aktører å utføre svært avanserte angrep.
Dette risikerer å føre til et kraftig økt volum av høy kvalitet phishing-angrep mot selskaper over hele verden.

Bedrifter må jobbe i flere sikkerhetslag
For organisasjoner betyr denne utviklingen at tradisjonell statisk beskyttelse ikke lenger er nok. Sikkerhetsarbeidet må bygges i flere lag der e-postbeskyttelse, nettsikkerhet, atferdsanalyse og kontinuerlige systemoppdateringer samhandler.
Like viktig er opplæring av ansatte. Etter hvert som phishing-angrep blir mer sofistikerte, øker også behovet for brukerbevissthet. Mistenkelige e-poster må identifiseres og rapporteres raskt for å minimere skade.
Barracuda fremhever også viktigheten av trusseldeling og samarbeid mellom organisasjoner. Ved raskt å spre informasjon om nye angrepsmønstre kan flere beskytte seg selv før kampanjene blir utbredt.
En klar trussel frem mot 2026
GhostFrame viser tydelig hvordan phishing nå utvikler seg til å bli mer dynamisk, vanskeligere å analysere og fleksibel plattformer. For svenske selskaper som allerede står overfor et kraftig økende trussellandskap, er dette nok en grunn til å prioritere IT-sikkerhet høyest i 2026.
Angripere blir raskere, smartere og mer organiserte. Dette betyr at forsvarssiden også må heve sitt tekniske nivå, samarbeid og beredskap.








