Barracuda full logo

Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »

Thèmes:
20 août 2025
|
Rohit Suresh Kanase

Le quishing est une forme d’hameçonnage qui utilise des codes QR contenant des liens malveillants. Lorsqu’ils sont scannés, ces codes QR redirigent les victimes vers de faux sites web conçus pour voler leurs identifiants ou d’autres informations sensibles.

Les codes QR malveillants sont fréquemment utilisés par les pirates pour diverses raisons. Comme ils ne peuvent pas être lus par les humains, ces codes n’éveillent aucun soupçon, et ils parviennent souvent à contourner les mesures de sécurité traditionnelles telles que les filtres anti-spam et les scanners de liens. En outre, comme les destinataires ont souvent besoin d’un appareil mobile pour scanner le code, ils peuvent se retrouver hors du périmètre de sécurité de l’entreprise et ne plus être protégés.

Alors que les outils de sécurité s’adaptent aux menaces de quishing, les pirates n’ont cessé d’innover dans leurs approches. Barracuda a déjà fait état de l’évolution des attaques par hameçonnage au moyen de codes QR et de l’arrivée d’attaques plus sophistiquées au moyen de codes QR ASCII.

Dans cet article, nous explorons les dernières avancées en matière de techniques d’attaque par code QR, notamment à l’aide de codes QR fractionnés ou imbriqués (QR-in-QR).

Codes QR fractionnés

Récemment, le kit Gabagool phishing-as-a-service (PhaaS) a commencé à utiliser une nouvelle technique permettant aux codes QR malveillants de contourner les systèmes de détection. Cette technique consiste à diviser le code QR en deux images distinctes et à les intégrer dans des e-mails de phishing. Lorsque les solutions de sécurisation des e-mails traditionnelles scannent le message, elles voient deux images distinctes et d’apparence inoffensive au lieu d’un seul code QR complet.

Les analystes des menaces de Barracuda ont récemment découvert que les pirates de Gabagool utilisaient des codes QR fractionnés dans une attaque initialement conçue comme un scam standard de « réinitialisation de mot de passe » Microsoft. L’utilisation par les pirates de messages hautement personnalisés suggère qu’ils avaient précédemment mis en œuvre une attaque réussie de détournement de conversation contre la cible.

Exemple de code QR fragmenté dans une attaque par hameçonnage
Le code QR du message semble complet, mais si vous regardez le visuel en HTML, vous pouvez voir qu’il est composé de deux images différentes. 
Exemple de code QR fractionné

Si le destinataire scanne le code, il est redirigé vers une page d’hameçonnage conçue pour voler ses identifiants de connexion Microsoft.

QR Code imbriqués

Les analystes ont observé le Tycoon 2FA PhaaS déployer une nouvelle technique permettant aux codes QR malveillants d’échapper à la détection. Dans ce cas, le code QR malveillant est intégré dans ou autour d’un code QR légitime.

Exemple de code QR imbriqué utilisé dans une attaque par hameçonnage

L’e-mail ci-dessus montre comment les deux codes QR sont imbriqués. Le code QR externe redirige vers une URL malveillante, tandis que le code QR interne mène à Google. Cette technique peut rendre plus difficile la détection de la menace par les scanners, car les résultats sont ambigus.

Se défendre contre l’évolution des codes QR

Outre les éléments essentiels que sont la formation de sensibilisation à la sécurité, l’authentification multifacteur et des filtres anti-spam et anti-malware performants, les entreprises doivent envisager de mettre en place une protection des e-mails à plusieurs niveaux intégrant des capacités d’IA multimodale afin de détecter ces menaces en constante évolution.

L’IA multimodale améliore la détection en analysant visuellement les images des pièces jointes pour localiser les codes QR, en décodant leur contenu et en analysant l’URL de destination ou la charge utile. Elle permet également d’exécuter les liens suspects dans des environnements sandbox pour détecter les comportements malveillants en temps réel, et utilise l’apprentissage automatique pour analyser la structure du code QR et les motifs de pixels, sans avoir besoin d’extraire directement le contenu intégré.

L’IA multimodale de Barracuda combine des capacités OCR, le traitement d’images en profondeur et des modèles de langage naturel pour détecter les e-mails de phishing basés sur des images, même ceux qui ne contiennent qu’un code QR.

Les analystes des menaces de Barracuda publient régulièrement des rapports sur l’évolution des tactiques d’attaque et des menaces par e-mail. Abonnez-vous à notre blog pour recevoir des mises à jour.

S’abonner au blog Barracuda
Rohit Suresh Kanase

Rohit Kanase est analyste adjoint des menaces au sein de l’équipe d’analyse des menaces de Barracuda Networks, où il se concentre sur la sécurité des e-mails. Son intérêt se porte sur l’identification des schémas d’attaque en évolution, et il suit de près les domaines émergents de la cybersécurité afin de maintenir des connaissances aussi étendues que diversifiées.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE : avantages pour l'un de ses premiers utilisateurs
BarracudaONE : avantages pour l'un de ses premiers utilisateurs
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.