
Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
Le quishing est une forme d’hameçonnage qui utilise des codes QR contenant des liens malveillants. Lorsqu’ils sont scannés, ces codes QR redirigent les victimes vers de faux sites web conçus pour voler leurs identifiants ou d’autres informations sensibles.
Les codes QR malveillants sont fréquemment utilisés par les pirates pour diverses raisons. Comme ils ne peuvent pas être lus par les humains, ces codes n’éveillent aucun soupçon, et ils parviennent souvent à contourner les mesures de sécurité traditionnelles telles que les filtres anti-spam et les scanners de liens. En outre, comme les destinataires ont souvent besoin d’un appareil mobile pour scanner le code, ils peuvent se retrouver hors du périmètre de sécurité de l’entreprise et ne plus être protégés.
Alors que les outils de sécurité s’adaptent aux menaces de quishing, les pirates n’ont cessé d’innover dans leurs approches. Barracuda a déjà fait état de l’évolution des attaques par hameçonnage au moyen de codes QR et de l’arrivée d’attaques plus sophistiquées au moyen de codes QR ASCII.
Dans cet article, nous explorons les dernières avancées en matière de techniques d’attaque par code QR, notamment à l’aide de codes QR fractionnés ou imbriqués (QR-in-QR).
Codes QR fractionnés
Récemment, le kit Gabagool phishing-as-a-service (PhaaS) a commencé à utiliser une nouvelle technique permettant aux codes QR malveillants de contourner les systèmes de détection. Cette technique consiste à diviser le code QR en deux images distinctes et à les intégrer dans des e-mails de phishing. Lorsque les solutions de sécurisation des e-mails traditionnelles scannent le message, elles voient deux images distinctes et d’apparence inoffensive au lieu d’un seul code QR complet.
Les analystes des menaces de Barracuda ont récemment découvert que les pirates de Gabagool utilisaient des codes QR fractionnés dans une attaque initialement conçue comme un scam standard de « réinitialisation de mot de passe » Microsoft. L’utilisation par les pirates de messages hautement personnalisés suggère qu’ils avaient précédemment mis en œuvre une attaque réussie de détournement de conversation contre la cible.


Si le destinataire scanne le code, il est redirigé vers une page d’hameçonnage conçue pour voler ses identifiants de connexion Microsoft.
QR Code imbriqués
Les analystes ont observé le Tycoon 2FA PhaaS déployer une nouvelle technique permettant aux codes QR malveillants d’échapper à la détection. Dans ce cas, le code QR malveillant est intégré dans ou autour d’un code QR légitime.

L’e-mail ci-dessus montre comment les deux codes QR sont imbriqués. Le code QR externe redirige vers une URL malveillante, tandis que le code QR interne mène à Google. Cette technique peut rendre plus difficile la détection de la menace par les scanners, car les résultats sont ambigus.
Se défendre contre l’évolution des codes QR
Outre les éléments essentiels que sont la formation de sensibilisation à la sécurité, l’authentification multifacteur et des filtres anti-spam et anti-malware performants, les entreprises doivent envisager de mettre en place une protection des e-mails à plusieurs niveaux intégrant des capacités d’IA multimodale afin de détecter ces menaces en constante évolution.
L’IA multimodale améliore la détection en analysant visuellement les images des pièces jointes pour localiser les codes QR, en décodant leur contenu et en analysant l’URL de destination ou la charge utile. Elle permet également d’exécuter les liens suspects dans des environnements sandbox pour détecter les comportements malveillants en temps réel, et utilise l’apprentissage automatique pour analyser la structure du code QR et les motifs de pixels, sans avoir besoin d’extraire directement le contenu intégré.
L’IA multimodale de Barracuda combine des capacités OCR, le traitement d’images en profondeur et des modèles de langage naturel pour détecter les e-mails de phishing basés sur des images, même ceux qui ne contiennent qu’un code QR.
Les analystes des menaces de Barracuda publient régulièrement des rapports sur l’évolution des tactiques d’attaque et des menaces par e-mail. Abonnez-vous à notre blog pour recevoir des mises à jour.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter