GhostFrame: Neue Phishing-Welle erreicht Millionenmarke

Eine hochentwickelte Cybercrime-Infrastruktur versetzt Sicherheitsexperten in Alarmbereitschaft. Seit September verzeichnet das als “GhostFrame” bezeichnete System über eine Million Angriffe – allein im deutschsprachigen Raum dürften Zehntausende Unternehmen betroffen sein.

Das Cybersecurity-Unternehmen Barracuda legte am Donnerstag einen Bericht vor, der das Ausmaß der Bedrohung erstmals detailliert dokumentiert. Die Besonderheit: GhostFrame nutzt eine neuartige “unsichtbare iframe”-Architektur, die herkömmliche Sicherheitsscanner systematisch austrickst. Was bedeutet das konkret für Unternehmen? Die üblichen Abwehrmechanismen laufen praktisch ins Leere.

Passend zum Thema GhostFrame: Unsichtbare iframe‑Angriffe umgehen klassische Scanner und machen einfache Link‑Prüfungen wirkungslos. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie E‑Mail‑Gateways, browserbasierte Prüfungen und Subdomain‑Validierung kombinieren, um nachladende Schadmodule zu entdecken. Inklusive Checkliste für IT‑Teams, Vorlagen für Mitarbeiterschulungen und Sofortmaßnahmen für den Ernstfall. Anti‑Phishing‑Paket jetzt kostenlos anfordern

Phishing 4.0: Verstecken hinter harmloser Fassade

Anders als klassische Phishing-Kits setzt GhostFrame auf eine zweigeteilte Angriffskette. Die äußere Hülle erscheint völlig legitim – keine verdächtigen Formulare, keine auffälligen Skripte, keine bekannten Schadcode-Muster. Sicherheitsscanner geben grünes Licht.

Der eigentliche Angriff verbirgt sich in einem eingebetteten iframe, einem separaten Fenster innerhalb der Webseite. Dort befindet sich der Code zum Abfischen von Zugangsdaten – dynamisch geladen, ständig wechselbar, für Automatismen unsichtbar.

Die Konsequenz ist fatal: Eine URL, die morgens als “sauber” durchgewunken wurde, kann nachmittags bereits völlig andere, bösartige Inhalte ausliefern. Die Kriminellen müssen dafür lediglich die Quelle des iframe ändern – die äußere Adresse bleibt unverändert.

“Das ist das erste Mal, dass ein komplettes Phishing-Framework um diese Technik herum konstruiert wurde”, erklären die Barracuda-Analysten. Die strukturelle Neuerung markiert einen Quantensprung bei Verschleierungstechniken.

Aktive Abwehr gegen Sicherheitsforscher

GhostFrame beschränkt sich nicht aufs Verstecken – das System wehrt sich aktiv gegen Analysen. Die Entwickler haben mehrere Hürden eingebaut, die Forscher und automatisierte Crawler gezielt ausbremsen:

Interaktionssperre: Die rechte Maustaste funktioniert nicht, Tastenkombinationen wie F12 (für Entwickler-Tools) sind deaktiviert. Ein simpler, aber effektiver Schutz gegen schnelle Inspektionen.

Verkehrsvalidierung: Ein Prüfskript kontrolliert jeden Besucher. Stimmt die Subdomain nicht mit einem generierten Schlüssel überein, bleibt der Bildschirm leer. Sicherheitsbots sehen nichts – reale Opfer schon.

Tarnung in Datenströmen: Die eigentlichen Schadkomponenten verstecken sich in Features für große Dateiübertragungen. Viele Analysetools brechen die Untersuchung ab, um Ressourcen zu sparen – genau darauf spekuliert die Malware.

Eine Million Angriffe: Wer ist betroffen?

Die schiere Angriffsmenge deutet auf ein ausgefeiltes Phishing-as-a-Service-Modell hin. Die Betreiber vermieten GhostFrame offenbar an zahlreiche Cyberkriminelle – das erklärt die rasante Skalierung seit September.

Häufige Betreffzeilen in den beobachteten Kampagnen:
* “Vertrauliche Vertragsunterlagen – Handlungsbedarf”
* “Jahresgespräch: Terminbestätigung erforderlich”
* “Rechnung im Anhang”
* “Passwort-Zurücksetzung notwendig”
* “HR-Mitteilung: Richtlinienänderungen”

Die Themen zielen bewusst auf Unternehmensumgebungen. Dringlichkeit und Neugier sollen Mitarbeiter zum Klick bewegen. Die gefälschten Login-Seiten imitieren Corporate Portals täuschend echt – selbst wachsame Nutzer können reinfallen.

Zusätzlich generiert das System für jeden Angriff einzigartige Subdomains. Wird eine URL gemeldet und blockiert, bleiben Tausende weitere aktiv. Ein Katz-und-Maus-Spiel, bei dem die Verteidiger strukturell im Nachteil sind.

Paradigmenwechsel in der Cyberabwehr

GhostFrame demonstriert eine beunruhigende Entwicklung: Angreifer haben sich erfolgreich an moderne Schutzmaßnahmen angepasst. E-Mail-Security-Gateways, die bislang auf Link-Reputation und Inhaltsanalyse setzten, stoßen an ihre Grenzen.

“Die Trennung von Auslieferungsmechanismus und Schadcode zwingt uns zu deutlich aufwendigeren Scans”, kommentiert ein leitender Analyst eines europäischen Cybersecurity-Unternehmens. “Die Effizienz unserer Abwehrsysteme wird gegen uns verwendet.”

Die schnelle Verbreitung lässt vermuten, dass weniger technisch versierte Kriminelle das Framework mieten und eigenständige Kampagnen fahren. Ein Entwicklerteam erstellt die Infrastruktur, Hunderte “Affiliates” nutzen sie – das typische Muster organisierter Cyberkriminalität.

Was können Unternehmen tun?

Reine Link-Prüfungen reichen nicht mehr. Sicherheitsexperten empfehlen einen mehrschichtigen Ansatz:

Browser-basierte Schutzlösungen analysieren Seiten im Moment des Aufrufs, nicht nur am E-Mail-Gateway. Sie erkennen das Nachladen des iframe, selbst wenn der Scanner zuvor nichts fand.

KI-gestützte visuelle Analyse identifiziert gefälschte Logos und nachgebaute Login-Masken unabhängig vom zugrundeliegenden Code.

Aktualisierte Mitarbeiterschulungen müssen klarstellen: Eine “saubere” URL garantiert keine sichere Seite. Deaktivierte Rechtsklick-Funktionen sollten als Warnsignal begriffen werden.

Barracudas Entdeckung zeigt einmal mehr: Stillstand ist in der Cybersecurity gleichbedeutend mit Verwundbarkeit. Während Angreifer unsichtbare Rahmen konstruieren, muss die Industrie neue Wege finden, das Unsichtbare sichtbar zu machen.

PS: Viele aktuelle Kampagnen kombinieren technische Verschleierung mit psychologischen Tricks – Dringlichkeits‑Betreffzeilen oder gefälschte Vorgesetzten‑Mails führen selbst vorsichtige Mitarbeiter in die Falle. Das Anti‑Phishing‑Paket bietet ein Notfall‑Playbook, reale Fallanalysen und eine Schritt‑für‑Schritt‑Checkliste für IT‑ und Sicherheitsverantwortliche, mit der Sie Angriffs‑Kampagnen identifizieren, Subdomain‑Fluten bremsen und schnelle Gegenmaßnahmen einleiten können. Jetzt Anti‑Phishing‑Notfall‑Guide sichern