Ilustración creada con inteligencia artificial sobre la ciberamenaza Ghostframe.
GhostFrame: así es la nueva generación del 'phishing' más modular, evasivo y escalable
Más de un millón de intentos de ataque de esta nueva amenaza revelan cómo el cibercrimen adopta modelos de plataforma y servicio que desacoplan la 'fachada' de la carga maliciosa para dificultar su detección.
Más información: Ciberataque en curso: estas son las claves para contener la amenaza que más temen las empresas
Más de un millón de intentos de ataque en apenas unos meses. Esa es la cifra que ha puesto en alerta a los analistas de ciberseguridad y que ha situado a GhostFrame en el radar de los equipos de defensa de medio mundo.
Quizá su nombre no les suene de nada, ya que no ha logrado un impacto significativo en empresas de primer orden, como hicieran en su momento otras campañas más mediáticas como WannaCry o Petya/NotPetya. Pero en este caso el temor no va tanto de su gravedad, ni tan siquiera es una cuestión de volumen.
Lo disruptivo es el corazón mismo de esta amenaza: lejos de ser un ataque en sí, estamos ante un kit de phishing que condensa en una sola herramienta varias de las tendencias más preocupantes del cibercrimen actual.
En otras palabras: GhostFrame no es un ataque concreto, sino una infraestructura completa, diseñada para pasar desapercibida, escalar con rapidez y resistir la detección.
Su principal singularidad es arquitectónica: la página que recibe la víctima es, a todos los efectos, inofensiva. Tanto es así que no contiene formularios sospechosos ni código malicioso visible que pudiera poner sobre aviso al propio navegante o a los sistemas de detección automatizados. Todo el fraude se ejecuta en un iframe que carga dinámicamente el contenido real del ataque desde otros dominios.
Ese desacoplamiento entre la fachada y la carga maliciosa supone un salto cualitativo frente a los kits clásicos.
“GhostFrame introduce modularidad, evasión y escala”, explica Miguel López, Regional Sales Director para el sur de Europa de Barracuda, en conversación con DISRUPTORES - EL ESPAÑOL. “Permite cambiar objetivos, regiones o marcas suplantadas sin modificar la página externa, lo que complica enormemente la detección y la respuesta”.
Esta enseña es la que ha descubierto este kit y descrito su funcionamiento, especialmente en lo que atañe a las defensas que pueden frenarlo. No en vano, al ocultar el phishing en un recurso embebido, GhostFrame debilita de forma directa los sistemas de detección basados en análisis estático o firmas conocidas.
“El contenido malicioso no está donde tradicionalmente se busca”, señala el experto. “Eso obliga a inspeccionar dinámicamente los iframes, analizar relaciones entre dominios y observar el comportamiento real de la sesión, no sólo el código”.
Oculto para las máquinas y para los humanos
La sofisticación del kit se refuerza con técnicas de camuflaje cada vez más difíciles de distinguir del tráfico legítimo. Así, en lugar de formularios visibles, el robo de credenciales se esconde dentro de flujos que simulan transmisiones de imágenes de gran tamaño.
No es un truco desconocido para la industria de la ciberseguridad: “Estamos viendo una tendencia clara a ocultar el phishing dentro de formatos aparentemente inofensivos. De este modo, el ataque se integra en procesos que el usuario percibe como normales”, añade Miguel López.
Miguel López, Regional Sales Director para el sur de Europa de Barracuda.
GhostFrame también está pensado para resistir el escrutinio humano. Para ello, afirman desde Barracuda, bloquea activamente herramientas de análisis del navegador, deshabilita atajos de teclado y dificulta la inspección manual.
López tiene clara cuál es la razón que subyace a todas estas triquiñuelas: “Hay una voluntad explícita de aumentar la fricción para los SOC y los equipos de respuesta. El objetivo es alargar el ciclo de vida de la campaña y ganar tiempo”.
Ese planteamiento encaja con otro de los rasgos clave de GhostFrame: su comercialización como phishing-as-a-service. Un modo de uso por el que el kit se ofrece como una plataforma reutilizable, reduciendo drásticamente las barreras de entrada para actores con pocos conocimientos técnicos.
“Esto democratiza el cibercrimen”, apunta el directivo de Barracuda. “Aumenta el número de atacantes potenciales y acelera la adopción de técnicas avanzadas”.
El resultado es un ecosistema más competitivo, en el que los kits evolucionan rápido y priorizan la evasión y la eficiencia. “Es una especie de selección natural”, describe López, “en la que sobreviven las herramientas que mejor resisten la detección”. Para las organizaciones, en última instancia, esto se traduce en ataques más frecuentes, más variados y más difíciles de contener con defensas tradicionales.
“Muchas empresas siguen confiando en enfoques perimetrales o soluciones demasiado estáticas. Pero amenazas como GhostFrame mutan en contenido, origen y vectores de entrega en tiempo real. No se les puede responder únicamente con firewalls y antivirus”, denuncia Miguel López.
“Todo apunta a una nueva generación de phishing más modular, más evasiva y más difícil de rastrear”, concluye el experto. Modelos que adoptan lógicas de plataforma y servicios propias de la economía digital, y que obligan a replantear cómo se concibe la defensa en un entorno donde el engaño ya no es burdo, sino sistémico.
