
Même les campagnes d'hameçonnage les plus sophistiquées sont vouées à l'échec si elles ne parviennent pas à franchir les défenses de sécurité. Il n'est donc pas surprenant que les cyberpirates continuent d'essayer de nouvelles techniques qui pourraient les aider à éviter d'être détectés.
Dans ce blog, nous mettons en lumière deux nouvelles techniques d'évasion détectées récemment par les analystes des menaces de Barracuda.
Le premier concerne un code QR qui, au lieu d'être une image statique, est créé à partir de combinaisons de caractères « block (█) » ASCII/Unicode. Cette tactique vise à empêcher les logiciels de sécurité d'extraire l'URL malveillante du code QR.
La deuxième technique consiste à utiliser un « Blob » (binary large object), un type d'identificateur de ressources uniformes (ou URI), qui permettent d'accéder à des données générées localement au sein du navigateur plutôt que de s'appuyer sur des domaines malveillants connus. Ces URI Blob sont créés dynamiquement et peuvent expirer rapidement, ce qui les rend difficiles à suivre et à analyser. En outre, étant donné que certains contrôles de sécurité n'examinent pas les URI Blob aussi minutieusement que les liens HTTP ou HTTPS plus traditionnels, les tentatives d'hameçonnage utilisant ces URI peuvent contourner les mécanismes de détection initiaux.
Une nouvelle génération de codes QR malveillants
Il y a un an, le volume d'attaques d'attaques par hameçonnage basées sur des codes QR a soudainement augmenté. Les données de Barracuda montrent qu'environ une messagerie sur 20 a été la cible d'attaques par code QR au dernier trimestre 2023.
Ces attaques impliquaient généralement des codes QR statiques à base d'images. Les pirates ont intégré des liens malveillants dans le code QR et ont encouragé les utilisateurs à scanner le code, ce qui les redirigeait vers une fausse page qui semblait être un service ou une application de confiance.
Les mesures de sécurité se sont rapidement adaptées. Des outils tels que la reconnaissance optique de caractères (OCR) peuvent extraire, vérifier et bloquer les URL malveillantes dans les codes QR.
Les analystes des menaces de Barracuda ont identifié une nouvelle génération d'hameçonnage par code QR, conçue pour échapper aux défenses basées sur l'OCR. Lors de ces attaques, l'« image » du code QR est créée à partir de caractères ASCII/Unicode.
Dans un e-mail, cela ressemblera à un code QR traditionnel. Pour un système de détection OCR classique, cela n'a aucun sens.
Exemple 1
L'attaque par hameçonnage semble être un fichier « Salaire et inscription aux avantages sociaux » partagé par l'administrateur. Lorsqu'un destinataire peu méfiant scanne le code QR et clique sur le lien, il est dirigé vers une fausse page de connexion Microsoft.
Un examen plus approfondi du code QR révèle une ligne entre chaque bloc. C'est parce que le code QR n'est pas une image, mais a été soigneusement construit à l'aide d'un « full block » ou « █ ».


Exemple 2
Dans ce cas, le pirate tente d'usurper l'identité de la société de messagerie DHL et demande au destinataire de remplir un formulaire en scannant le code QR. Lorsque le code QR est scanné, il redirige la victime vers un site d'hameçonnage.

Le code QR est créé à l'aide d'une combinaison de caractères Unicode : « Lower Half Block » (0x2584) pour les lignes horizontales et « Full Block » (0x2588) pour les lignes verticales. Dans ce cas, pour créer les taches blanches sur le code QR, une « espace insécable » (nbsp) est utilisée.
Une multitude de combinaisons
Comme le montrent les exemples ci-dessus, il existe plusieurs façons de représenter un « block » à l'aide du jeu de caractères ASCII ou Unicode.
En réalité, il existe 32 caractères « block » distincts, répartis en trois catégories principales :
- Full Blocks - 3
- Blocs partiels - 17
- Quadrants - 12
Ils peuvent tous être encodés dans des e-mails d'hameçonnage à l'aide d'entité HTML, de l'encodage UTF-8 ou de l'encodage UTF-16. En d'autres termes, il y a 96 combinaisons possibles.
Le tableau ci-dessous décrit les différentes manières dont les caractères « block » peuvent être utilisés dans les pages d'hameçonnage :

En outre, dans le cas des entités HTML, chaque « block » peut avoir plusieurs représentations et les pirates peuvent utiliser des blocs uniques ou des combinaisons de blocs pour générer leurs codes QR basés sur l'ASCII/Unicode. Tout cela augmente le nombre total de combinaisons possibles et rend les codes QR basés sur ASCII difficiles à détecter.
Barracuda recommande que si les technologies de sécurité signalent l'utilisation potentielle d'un code QR ASCII dans une attaque par hameçonnage, la solution la plus simple est de prendre une capture d'écran de l'e-mail d'hameçonnage et de la transmettre au moteur OCR pour lire l'URL derrière le code QR.
Le potentiel évasif des URI Blob
Un URI Blob (également appelé URL Blob ou URL d'objet) est utilisé par les navigateurs pour représenter des données binaires ou des objets semblables à des fichiers (appelés Blobs) qui sont temporairement stockés dans la mémoire du navigateur.
Les URI Blob permettent aux développeurs Web de travailler avec des données binaires telles que des images, des vidéos ou des fichiers directement dans le navigateur, sans avoir à les envoyer ou à les récupérer à partir d'un serveur externe.
Comme les URI Blob ne chargent pas de données à partir d'URL externes, les outils traditionnels de filtrage et d'analyse d'URL risquent de ne pas reconnaître le contenu comme malveillant dans un premier temps.
Les pirates créent des pages d'hameçonnage en utilisant des URI Blob dans l'espoir de rendre plus difficile l'identification et le blocage des contenus malveillants par les systèmes de détection.
Le premier exemple d'une attaque par hameçonnage utilisant des URI Blob observé par les analystes des menaces de Barracuda a tenté d'usurper l'identité de Capital One, en invitant l'utilisateur à cliquer sur « Vérifiez votre compte ». Cela les redirige vers une page d'hameçonnage intermédiaire, qui génère un URI Blob et redirige rapidement le navigateur vers l'adresse du lien nouvellement créé.


Les analystes des menaces ont également observé que la technique URI Blob était utilisée dans des attaques par hameçonnage usurpant l'identité de Chase et d'Air Canada.
Conclusion
Les techniques d'hameçonnage évasif ont considérablement évolué et représentent une menace croissante pour les organisations. Les cyberpirates perfectionnent constamment leurs méthodes pour contourner les mesures de sécurité traditionnelles. Les attaques par hameçonnage devenant de plus en plus sophistiquées, il est essentiel de mettre en œuvre des stratégies de défense à plusieurs niveaux et de promouvoir une solide culture de sécurité.
Megharaj Balaraddi, analyste adjoint des menaces chez Barracuda, a également contribué aux recherches pour ce billet de blog.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter