Barracuda full logo

Nouvelles techniques de phishing pour échapper à la détection : codes QR basés sur ASCII et URI « Blob »

Thèmes:
9 oct. 2024
|

Même les campagnes d'hameçonnage les plus sophistiquées sont vouées à l'échec si elles ne parviennent pas à franchir les défenses de sécurité. Il n'est donc pas surprenant que les cyberpirates continuent d'essayer de nouvelles techniques qui pourraient les aider à éviter d'être détectés.

Dans ce blog, nous mettons en lumière deux nouvelles techniques d'évasion détectées récemment par les analystes des menaces de Barracuda.

Le premier concerne un code QR qui, au lieu d'être une image statique, est créé à partir de combinaisons de caractères « block (█) » ASCII/Unicode. Cette tactique vise à empêcher les logiciels de sécurité d'extraire l'URL malveillante du code QR.

La deuxième technique consiste à utiliser un « Blob » (binary large object), un type d'identificateur de ressources uniformes (ou URI), qui permettent d'accéder à des données générées localement au sein du navigateur plutôt que de s'appuyer sur des domaines malveillants connus. Ces URI Blob sont créés dynamiquement et peuvent expirer rapidement, ce qui les rend difficiles à suivre et à analyser. En outre, étant donné que certains contrôles de sécurité n'examinent pas les URI Blob aussi minutieusement que les liens HTTP ou HTTPS plus traditionnels, les tentatives d'hameçonnage utilisant ces URI peuvent contourner les mécanismes de détection initiaux.

Une nouvelle génération de codes QR malveillants

Il y a un an, le volume d'attaques d'attaques par hameçonnage basées sur des codes QR a soudainement augmenté. Les données de Barracuda montrent qu'environ une messagerie sur 20 a été la cible d'attaques par code QR au dernier trimestre 2023. 

Ces attaques impliquaient généralement des codes QR statiques à base d'images. Les pirates ont intégré des liens malveillants dans le code QR et ont encouragé les utilisateurs à scanner le code, ce qui les redirigeait vers une fausse page qui semblait être un service ou une application de confiance.

Les mesures de sécurité se sont rapidement adaptées. Des outils tels que la reconnaissance optique de caractères (OCR) peuvent extraire, vérifier et bloquer les URL malveillantes dans les codes QR.

Les analystes des menaces de Barracuda ont identifié une nouvelle génération d'hameçonnage par code QR, conçue pour échapper aux défenses basées sur l'OCR. Lors de ces attaques, l'« image » du code QR est créée à partir de caractères ASCII/Unicode.

Dans un e-mail, cela ressemblera à un code QR traditionnel. Pour un système de détection OCR classique, cela n'a aucun sens.

Exemple 1

L'attaque par hameçonnage semble être un fichier « Salaire et inscription aux avantages sociaux » partagé par l'administrateur. Lorsqu'un destinataire peu méfiant scanne le code QR et clique sur le lien, il est dirigé vers une fausse page de connexion Microsoft.

Un examen plus approfondi du code QR révèle une ligne entre chaque bloc. C'est parce que le code QR n'est pas une image, mais a été soigneusement construit à l'aide d'un « full block » ou «  █ ».

Exemple de code QR basé sur ASCII
Le code QR est une matrice 49x49 de « full block » (█). Pour donner l'impression d'un code QR convaincant, partout où des taches blanches sont nécessaires dans le code QR, la CSS (Cascading Style Sheet) est utilisée pour rendre la couleur du texte des caractères du bloc entièrement transparente, les rendant invisibles.
Exemple de CSS utilisé dans une attaque par code QR basée sur ASCII

Exemple 2

Dans ce cas, le pirate tente d'usurper l'identité de la société de messagerie DHL et demande au destinataire de remplir un formulaire en scannant le code QR. Lorsque le code QR est scanné, il redirige la victime vers un site d'hameçonnage.

Exemple d'attaque par code QR basée sur l'ASCII-Unicode

Le code QR est créé à l'aide d'une combinaison de caractères Unicode : « Lower Half Block » (0x2584) pour les lignes horizontales et « Full Block » (0x2588) pour les lignes verticales. Dans ce cas, pour créer les taches blanches sur le code QR, une « espace insécable » (nbsp) est utilisée.

Une multitude de combinaisons

Comme le montrent les exemples ci-dessus, il existe plusieurs façons de représenter un « block » à l'aide du jeu de caractères ASCII ou Unicode.

En réalité, il existe 32 caractères « block » distincts, répartis en trois catégories principales :

  • Full Blocks - 3
  • Blocs partiels - 17
  • Quadrants - 12

Ils peuvent tous être encodés dans des e-mails d'hameçonnage à l'aide d'entité HTML, de l'encodage UTF-8 ou de l'encodage UTF-16. En d'autres termes, il y a 96 combinaisons possibles.

Le tableau ci-dessous décrit les différentes manières dont les caractères « block » peuvent être utilisés dans les pages d'hameçonnage :

façons dont les caractères « block » peuvent être utilisés

En outre, dans le cas des entités HTML, chaque « block » peut avoir plusieurs représentations et les pirates peuvent utiliser des blocs uniques ou des combinaisons de blocs pour générer leurs codes QR basés sur l'ASCII/Unicode. Tout cela augmente le nombre total de combinaisons possibles et rend les codes QR basés sur ASCII difficiles à détecter.

Barracuda recommande que si les technologies de sécurité signalent l'utilisation potentielle d'un code QR ASCII dans une attaque par hameçonnage, la solution la plus simple est de prendre une capture d'écran de l'e-mail d'hameçonnage et de la transmettre au moteur OCR pour lire l'URL derrière le code QR.

Le potentiel évasif des URI Blob

Un URI Blob (également appelé URL Blob ou URL d'objet) est utilisé par les navigateurs pour représenter des données binaires ou des objets semblables à des fichiers (appelés Blobs) qui sont temporairement stockés dans la mémoire du navigateur.

Les URI Blob permettent aux développeurs Web de travailler avec des données binaires telles que des images, des vidéos ou des fichiers directement dans le navigateur, sans avoir à les envoyer ou à les récupérer à partir d'un serveur externe.

Comme les URI Blob ne chargent pas de données à partir d'URL externes, les outils traditionnels de filtrage et d'analyse d'URL risquent de ne pas reconnaître le contenu comme malveillant dans un premier temps.

Les pirates créent des pages d'hameçonnage en utilisant des URI Blob dans l'espoir de rendre plus difficile l'identification et le blocage des contenus malveillants par les systèmes de détection.

Le premier exemple d'une attaque par hameçonnage utilisant des URI Blob observé par les analystes des menaces de Barracuda a tenté d'usurper l'identité de Capital One, en invitant l'utilisateur à cliquer sur « Vérifiez votre compte ». Cela les redirige vers une page d'hameçonnage intermédiaire, qui génère un URI Blob et redirige rapidement le navigateur vers l'adresse du lien nouvellement créé. 

Exemple d'attaque par hameçonnage par URI Blob
L'URI Blob présente la fausse page de connexion Capital One à la victime.
Page de phishing URI Blob

Les analystes des menaces ont également observé que la technique URI Blob était utilisée dans des attaques par hameçonnage usurpant l'identité de Chase et d'Air Canada.

Conclusion

Les techniques d'hameçonnage évasif ont considérablement évolué et représentent une menace croissante pour les organisations. Les cyberpirates perfectionnent constamment leurs méthodes pour contourner les mesures de sécurité traditionnelles. Les attaques par hameçonnage devenant de plus en plus sophistiquées, il est essentiel de mettre en œuvre des stratégies de défense à plusieurs niveaux et de promouvoir une solide culture de sécurité.

Megharaj Balaraddi, analyste adjoint des menaces chez Barracuda, a également contribué aux recherches pour ce billet de blog.

Rapport : les principales menaces liées aux e-mails et leur évolution
Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.