Barracuda full logo

Threat Spotlight : Présentation de GhostFrame, un nouveau kit d’hameçonnage furtif

Thèmes:
4 déc. 2025
|

Un kit d’apparence simple qui a déjà servi de point de départ à des millions d’attaques

Ce qu’il faut retenir

  • Les analystes des menaces de Barracuda ont repéré GhostFrame pour la première fois en septembre.
  • Le code d’hameçonnage est dissimulé dans une iframe intégrée à une page HTML en apparence inoffensive.
  • Le kit permet de modifier facilement le contenu et l’emplacement afin d’échapper à la détection.
  • Un nouveau sous-domaine est utilisé pour chaque victime

En septembre 2025, les analystes des menaces de Barracuda ont identifié une série d’attaques par hameçonnage utilisant des outils et des techniques ne correspondant à aucun kit d’hameçonnage en tant que service (PhaaS) connu. En décembre, l’équipe avait recensé plus d’un million d’attaques utilisant ce nouveau kit, qu’elle a baptisé GhostFrame en raison de son caractère innovant et particulièrement furtif.

Une nouvelle approche

Contrairement à la plupart des kits d'hameçonnage, GhostFrame utilise un simple fichier HTML qui semble inoffensif, et toutes les activités malicieuses se déroulent à l'intérieur d'un iframe, qui est une petite fenêtre sur une page web pouvant afficher du contenu provenant d'une autre source. Cette approche fait apparaître la page d'hameçonnage comme authentique tout en masquant ses véritables origines et son objectif.

La conception de l’iframe permet également aux pirates de modifier facilement le contenu de l’hameçonnage, d’essayer de nouvelles astuces ou de cibler des régions spécifiques, le tout sans modifier la page Web principale qui distribue le kit.

De plus, en se contentant de modifier la destination de l’iframe, le kit peut éviter d’être détecté par les outils de sécurité qui ne contrôlent que la page externe.

Bien que l’utilisation abusive des iframes ne soit pas inhabituelle dans l’hameçonnage, c’est la première fois que Barracuda observe un cadre d’hameçonnage entièrement conçu autour de cette technique.

Tactique d'attaque en deux étapes

La page d’hameçonnage externe principale, le fichier HTML d’apparence inoffensive, qui est affichée aux utilisateurs ne comprend aucun élément d’hameçonnage typique. À la place, elle intègre un obscurcissement de base pour dissimuler sa véritable fonction et utilise du code dynamique pour générer et manipuler des noms de sous-domaines, de sorte qu’un nouveau soit créé pour chaque cible.

Cette page contient toutefois des pointeurs intégrés qui renvoient les cibles à une page secondaire d’hameçonnage par le biais d’une iframe.

Cette page secondaire héberge les composants d’hameçonnage réels. Même dans ce cas, les pirates ont dissimulé les formulaires de capture d’identifiants dans une fonctionnalité de diffusion d’images conçue pour des fichiers très volumineux (binary large objects), ce qui complique la tâche des analyseurs statiques, qui recherchent généralement des formulaires d’hameçonnage codés en dur, pour détecter l’attaque.

Cet article explique en détail le fonctionnement pratique de cette méthode en deux étapes et les raisons pour lesquelles elle s’avère particulièrement efficace pour piéger les utilisateurs.

L’e-mail de phishing

Le contenu des e-mails GhostFrame alterne entre différents thèmes, comme de faux accords commerciaux ou de fausses mises à jour provenant des ressources humaines. Comme d’autres e-mails de phishing, ils sont conçus pour tromper les destinataires en les incitant à cliquer sur des liens dangereux ou à télécharger des fichiers nuisibles.

Les lignes d’objet récentes incluent : « Notification de contrat et de proposition sécurisée », « Rappel de révision annuelle », « Facture jointe » et « Demande de réinitialisation de mot de passe ».

Analyse technique

Variantes

Le code source du kit existe sous deux formes différentes (variantes), qui sont utilisées simultanément.

Une version est obscurcie, ce qui rend le code difficile à lire et à analyser, tandis que l’autre est non obscurcie et facilement compréhensible par les humains. La version non obscurcie, plus fréquemment rencontrée lors des attaques précédentes, contient des commentaires expliquant les fonctionnalités du code. 

À gauche : variante non obscurcie et à droite : variante obscurcie

Anti-analyse et anti-débogage

Le kit d’hameçonnage comprend un script qui empêche toute tentative d’inspection. Entre autres choses, il empêche le clic droit de la souris, bloque la touche F12 du clavier (utilisée pour les outils de développement), et empêche les raccourcis clavier courants comme Ctrl/Cmd et Ctrl/Cmd+Maj.

Ces raccourcis sont généralement utilisés par les analystes de sécurité pour consulter le code source, sauvegarder la page ou ouvrir les outils de développement.

Le script bloque également la touche Entrée, ce qui empêche les utilisateurs ou les analystes d'inspecter ou d'enregistrer la page web.

En ciblant à la fois les clics de souris et l’accès au menu contextuel principal, le kit d’hameçonnage garantit qu’il n’y a aucun moyen d’accéder au menu contextuel.

Des sous-domaines aléatoires utilisés pour diffuser l’iframe malveillante

Le kit d’hameçonnage génère un sous-domaine différent et aléatoire à chaque visite du site.

Par exemple : 7T8vA0c7QdtIIfWXRdq1Uv1JtJedwDUs[.]spectrel-a[.]biz.

Ces adresses Web (URL) incluent un hachage et divers paramètres, qui servent généralement de jetons de session.

Lorsqu’une cible atterrit pour la première fois sur le site, l’iframe malicieuse reste cachée. Elle n’apparaît qu’après que le script de chargement vérifie le sous-domaine ou reçoit certains signaux. Une fois activé, le chargeur écoute les instructions envoyées par l’iframe, qui peut ensuite modifier le comportement du navigateur.

Le chargeur lui-même n’affiche aucun contenu d’hameçonnage. Son rôle est de mettre en place l’iframe, de gérer l’environnement du navigateur et de répondre aux messages de l’iframe. En hébergeant la page d’hameçonnage sur des sous-domaines qui changent constamment, les pirates rendent la détection et le blocage de la menace par les systèmes de sécurité beaucoup plus difficiles.

Validation dynamique des sous-domaines

Avant d’afficher le contenu d’hameçonnage, le kit vérifie le sous-domaine par rapport à un code généré à partir d’une clé intégrée pour s’assurer qu’il se trouve sur le site prévu.

Cela aide le kit à distinguer entre l’infrastructure authentique des pirates et les domaines de redirection temporaires. Si le sous-domaine réussit ce test, les utilisateurs voient une animation de chargement. Sinon, ils sont redirigés vers un site Web inoffensif.

Caractéristiques particulières du kit d’hameçonnage GhostFrame

Le kit GhostFrame comprend plusieurs fonctionnalités avancées qui le rendent plus efficace et plus difficile à détecter :

  • Communication entre l’iframe et la page parente : le faux contenu à l’intérieur de l’iframe utilise la méthode « window.postMessage ». pour demander à la page de chargement d’apporter des modifications. Cela peut inclure :
    • Modifier le titre de la page parente afin d’imiter des services de confiance, comme « Connectez-vous à votre compte ».
    • J'ai échangé le favicon du site pour rendre la page plus authentique.
    • Rediriger la fenêtre de navigation principale vers un autre domaine si cela est demandé.
    • Faire tourner les sous-domaines au cours d’une session pour éviter que l’attaque ne soit détectée.
  • Iframe de secours codée en dur : si le JavaScript échoue ou est bloqué, le kit inclut une iframe de secours au bas de la page. Cela garantit que la tentative d’hameçonnage peut toujours fonctionner, offrant aux pirates un moyen fiable de poursuivre leur scam.
  • Écrans de connexion basés sur des images URI Blob : le kit peut afficher des copies exactes de pages de connexion, telles que celles de Microsoft 365 ou de Google, sous forme d’images à l’intérieur de l’iframe plutôt qu’en HTML classique. Ces images sont chargées à l’aide d’un URI Blob, qui leur permet d’apparaître directement depuis la mémoire du navigateur. Les pirates utilisent une technique de double tampon pour changer rapidement d’images, rendant la fausse page de connexion encore plus convaincante lorsque les utilisateurs interagissent avec elle.

Comment se défendre contre cette menace

Une approche multicouche est nécessaire pour protéger les e-mails et les employés de GhostFrame, et des attaques par hameçonnage furtives similaires. Appliquez les étapes suivantes et :

  • Imposez des mises à jour régulières du navigateur pour tous les utilisateurs.
  • Formez les employés à éviter de cliquer sur des liens dans des emails non sollicités, à vérifier soigneusement les URL avant de saisir des identifiants, et à signaler les pages suspectes qui semblent « intégrées » dans d’autres contenus ou partiellement chargées.
  • Déployez des passerelles de messagerie sécurisée et des filtres Web qui détectent les iframes suspectes utilisées dans les e-mails HTML ou les pages de destination.
  • D’un point de vue technique, assurez-vous que votre site Web dispose de contrôles qui limitent la capacité des programmes à charger ou à intégrer des iframes. Cela empêchera le clickjacking et les frames non autorisés. Vous devez également analyser régulièrement vos applications Web pour détecter les vulnérabilités qui permettent l’injection d’iframes.
  • Surveillez les redirections inhabituelles ou le contenu intégré dans le trafic Web.

Comment Barracuda Email Protection peut aider votre entreprise

Barracuda Email Protection propose une suite complète de fonctionnalités conçues pour vous défendre contre les menaces e-mail avancées. Vous trouverez plus d’informations ici.

Obtenez le rapport 2025 sur les violations de la sécurité des e-mails
Billets associés :
How Curtins built a more mature, security first culture
How Curtins built a more mature, security first culture
 Les tendances récentes en matière de techniques d’accès initial : les exploits de vulnérabilité figurent en tête de liste
Les tendances récentes en matière de techniques d’accès initial : les exploits de vulnérabilité figurent en tête de liste
 Threat Spotlight : l’évolution des kits d’hameçonnage en 2025
Threat Spotlight : l’évolution des kits d’hameçonnage en 2025
 Les 3 webinaires incontournables de Barracuda en 2025 : aperçus de sécurité à la demande
Les 3 webinaires incontournables de Barracuda en 2025 : aperçus de sécurité à la demande
Rechercher dans le blog

Rapport 2025 sur les violations de la sécurité des e-mails

Principales conclusions concernant l’expérience et l’impact des failles de sécurité des e-mails sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Rapport d’informations de 2025 sur les clients des fournisseurs de services managés 

Panorama mondial sur les besoins et attentes des organisations vis-à-vis de leurs fournissuers de services managés en cybersécurité

Recevez le rapport d'enquête

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.