GhostFrame: Phishing-Kit erreicht Millionengrenze

Das Schadprogramm “GhostFrame” hat mit über einer Million Angriffe einen traurigen Rekord aufgestellt. Die Cyberkriminellen nutzen gezielt “Jahresabschluss”- und “Rechnungs”-Köder in der stressigen Vorweihnachtszeit.

Während viele Unternehmen in die Feiertage starten, läuft eine der größten Phishing-Kampagnen des Jahres auf Hochtouren. Der als “GhostFrame” bekannte Angriffsbaukasten hat laut aktuellen Branchenberichten die Schwelle von einer Million Attacken überschritten. Das gefährliche Toolkit setzt auf täuschend echte E-Mails zu Themen wie “Jahresrückblick” oder “dringende Rechnung” – genau dann, wenn Mitarbeiter unter Zeitdruck administrative Aufgaben erledigen.

Tarnkappen-Architektur überlistet Sicherheitssysteme

Was macht GhostFrame so erfolgreich? Der Schlüssel liegt in einer ausgeklügelten Tarnarchitektur, die fast vollständig auf sogenannte Iframes setzt. Dabei handelt es sich um Fenster innerhalb einer Webseite, die Inhalte von anderen Quellen laden.

Anders als bei herkömmlichen Phishing-Seiten sieht die eigentliche Landeseite harmlos aus. Die betrügerische Login-Maske wird erst im versteckten Iframe nachgeladen. Herkömmliche Sicherheitsscanner prüfen oft nur die äußere Hülle – und übersehen so den bösartigen Kern.

Phishing-Kampagnen wie GhostFrame mit über einer Million Angriffen setzen gezielt auf versteckte Iframes und randomisierte Subdomains, die Standardfilter aushebeln. Firmen benötigen pragmatische, sofort einsetzbare Maßnahmen – von browserbasierter Inhaltsprüfung bis zu klaren Schulungsprozessen für Mitarbeiter. Das kostenlose Anti-Phishing-Paket erklärt in vier klaren Schritten, wie Sie gefälschte Login-Masken, CEO-Fraud und manipulierte Subdomains erkennen, blockieren und Mitarbeitende wirksam sensibilisieren. Praktische Checklisten und Vorlagen helfen bei der schnellen Umsetzung. Anti-Phishing-Paket jetzt kostenlos herunterladen

Die technischen Raffinessen im Überblick:
* Dynamische Subdomains: Jedes Opfer erhält eine einzigartige Subdomain, was Blocklisten wirkungslos macht.
* Iframe-Verschleierung: Der schädliche Code bleibt für viele Scanner unsichtbar.
* Anti-Analyse-Tools: Rechtsklick, Entwicklertools (F12) und Tastenkombinationen werden blockiert, um die Untersuchung zu erschweren.

Forscher von Barracuda Networks betonten bereits Anfang Dezember, dass es sich um das erste komplette Phishing-Framework handele, das konsequent auf diese Iframe-Technik setze. Dieser Vorteil macht GhostFrame für viele ältere E-Mail-Sicherheitsgateways nach wie vor nahezu unsichtbar.

Phishing-as-a-Service: Einfachheit für Kriminelle

Die enorme Verbreitung hat auch mit dem Geschäftsmodell zu tun: GhostFrame wird als “Phishing-as-a-Service” (PhaaS) vermietet. Selbst technisch wenig versierte Cyberkriminelle können so professionelle Kampagnen starten.

Die Modulbauweise erlaubt es, die betrügerischen Inhalte im Iframe mühelos auszutauschen – ob gefälschter Microsoft-365-Login oder Google-Workspace-Maske. Diese Anpassungsfähigkeit macht das Toolkit für verschiedene Regionen und Branchen gleichermaßen attraktiv.

Seit seinem ersten Auftauchen im September 2025 erlebte GhostFrame im vierten Quartal einen wahren Boom. Die Millionengrenze wurde bereits Anfang Dezember geknackt. Die anhaltenden Warnungen bis zum 24. Dezember legen nahe, dass die Zahl der Angriffe weiter steigt.

Wie können sich Unternehmen schützen?

Experten warnen: Herkömmliche URL-Filter stößen bei GhostFrame an ihre Grenzen. Die randomisierten Subdomains und harmlosen Hüllen-Seiten umgehen diese Schutzmechanismen zuverlässig.

Empfohlene Verteidigungsstrategien:
* Browser-basierte Erkennung: Sicherheitstools sollten Inhalte innerhalb des Browsers nach dem Laden prüfen, um die bösartigen Iframes zu enttarnen.
* Gezielte Mitarbeitersensibilisierung: Besondere Warnung vor E-Mails mit Betreffzeilen wie “Jahresrückblick”, “dringende Rechnung” oder “Vertragsbenachrichtigung”, die zur Anmeldung auf einer generischen Seite auffordern.
* Iframe-Einschränkungen: Administratoren können Richtlinien konfigurieren, die das Laden von Iframes von nicht vertrauenswürdigen oder neu registrierten Domains blockieren.

Ausblick: Was bringt 2026?

Der anhaltende Erfolg von GhostFrame markiert einen Trend zu widerstandsfähigeren, modulareren Phishing-Architekturen. Analysten prognostizieren für 2026 eine Zunahme “hybrider” Angriffskits.

Diese könnten die Iframe-Tarnung von GhostFrame mit KI-generierten Ködern kombinieren. Das würde Betrugsversuche noch schwerer von legitimer Kommunikation unterscheidbar machen.

Bis dahin raten Sicherheitsteams zu erhöhter Wachsamkeit über die Feiertage und den Jahreswechsel. Das Volumen der GhostFrame-Angriffe zeigt vor Januar keinerlei Anzeichen für ein Nachlassen.

PS: Übrigens – wer über die Feiertage schnell und gezielt das Risiko senken möchte, findet im Anti-Phishing-Paket kompakte Maßnahmen zur sofortigen Umsetzung. Der Leitfaden fasst psychologische Erkennungsmerkmale, technische Filteransätze und Vorlagen für Mitarbeiterschulungen zusammen, damit IT-Verantwortliche und Entscheider rasch reagieren können. Ideal für Unternehmen, die ihre E-Mail-Defenses ohne lange Implementierungszeiten stärken wollen. Jetzt Anti-Phishing-Paket anfordern