Barracuda full logo

Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants

Thèmes:
3 sept. 2025
|
Megharaj Balaraddi

Les e-mails de phishing contiennent souvent des liens malveillants (URL) qui redirigent les victimes vers de faux sites web où elles sont infectées par des logiciels malveillants ou incitées à divulguer des informations personnelles telles que leurs identifiants de compte.

Alors que les outils de sécurité s’améliorent pour détecter et bloquer ces liens dangereux, les pirates trouvent de nouvelles méthodes ingénieuses pour les dissimuler et contourner les systèmes de sécurité.

Les analystes des menaces de Barracuda ont déjà fait état de ces tactiques en constante évolution et de plus en plus complexes. Cet article présente quelques-unes des dernières approches observées par l’équipe dans les attaques impliquant le kit avancé de phishing-as-a-service (PhaaS), Tycoon. Les attaques utilisent des techniques conçues pour masquer, brouiller et perturber la structure des liens. L’objectif est de dérouter les systèmes de détection automatisés et de s’assurer que les liens ne sont pas bloqués.

Masquer les liens en utilisant des espaces et des caractères obscurs

Les analystes ont découvert que Tycoon utilisait des techniques de codage d’URL pour dissimuler des liens malveillants dans des attaques exploitant un service de comptabilité de confiance.

Ces attaques utilisent des messages de messagerie vocale soigneusement conçus et personnalisés :

Exemple d’e-mail de phishing utilisant des URL dissimulées

Le codage d’URL utilisé par les pirates implique les actions suivantes :

  • Insertion d’une série d’espaces invisibles dans l’adresse web (à l’aide du code « %20 ») afin de déplacer la partie malveillante du lien hors de portée des analyses de sécurité
  • Ajout de caractères étranges, comme un symbole « Unicode » qui ressemble à un point mais n’en est pas un
  • Insertion d’une adresse e-mail masquée ou d’un code spécial à la fin de l’adresse web

Le chemin encodé peut également servir de traceur ou déclencher une redirection malveillante.

Voici à quoi ressemble une URL avec des espaces codés (%20) :

Exemple d'une URL avec un espace codé
Voici comment cette URL apparaît sur l'ordinateur :
Exemple d’URL avec des espaces dissimulées

En utilisant des codes et des symboles inattendus et inhabituels et en rendant l’adresse web visible moins suspecte et plus semblable à celle d’un site web normal, la technique d’encodage est conçue pour tromper les systèmes de sécurité et faire en sorte qu’il soit plus difficile pour les destinataires et les filtres traditionnels de reconnaître la menace.

Les attaques Tycoon incluent également une fausse étape de vérification (un test CAPTCHA convaincant « Je ne suis pas un robot ») pour donner au site web une apparence plus légitime et contourner les contrôles de sécurité de base.

Ajout de parties supplémentaires à une adresse web pour masquer la destination réelle

Les analystes ont également constaté que les pirates utilisaient la technique du préfixe de protocole redondant. Cela consiste à créer une URL partiellement cliquable ou comportant des éléments non valides (comme deux « https » ou aucun « // ») pour dissimuler la véritable destination du lien, tout en faisant en sorte que la partie active paraisse inoffensive et légitime et n’éveille pas les soupçons des cibles ni des contrôles du navigateur.

Une autre tactique consiste à utiliser le symbole « @ » dans une adresse web. Tout ce qui précède le « @ » est considéré comme des « informations utilisateur » par les navigateurs. Les pirates placent donc dans cette partie un élément qui semble fiable et digne de confiance, comme « office365 ». La destination réelle du lien se trouve après le caractère « @ ».

En voici quelques exemples :

Exemple d’astuce dans un lien malveillant

Voici ce que voient les filtres et les destinataires : hxxps:office365Scaffidips[.]azgcvhzauig[.]es\If04

Quelle est la destination réelle ? Après le caractère « @ » vers un site web caché géré par des pirates

Les pirates peuvent également utiliser des adresses web avec des symboles inhabituels, comme des barres obliques inversées (\) ou le symbole du dollar ($), qui ne sont normalement pas présents dans les URL. Ces caractères inhabituels peuvent perturber la lecture de l’adresse par les outils de sécurité, ce qui permet à un lien malveillant d’échapper aux systèmes de détection automatiques.

L’équipe d’analystes a récemment observé l’utilisation de tactiques de protocole redondant dans une attaque Tycoon se faisant passer pour Microsoft 365.

Dans ce cas, les pirates ont créé une URL dont la première partie est inoffensive et contient un lien hypertexte, tandis que la seconde partie, malveillante, apparaît sous forme de texte brut. Lorsque les utilisateurs copient et collent ’intégralité de l’URL dans leur navigateur, cela les dirige vers une page d’hameçonnage de vol d’identifiants appartenant au kit de phishing Tycoon. Étant donné que la partie malveillante du lien n’est connectée à rien, elle n’est pas lue correctement par les outils de sécurité.

Exemple d’URL malveillante dans un e-mail de phishing

Utilisation abusive de sous-domaines pour paraître digne de confiance

Dans l’attaque Tycoon, les pirates ont également divisé les sous-domaines en parties inoffensives et en parties malveillantes.

Ils ont créé de faux sites web en utilisant des noms apparemment liés à des entreprises connues. Par exemple, « office365Scaffidips.azgcvhzauig.es ». Cela donne à l’utilisateur l’impression qu’il s’agit d’un sous-domaine de Microsoft. Cependant, la dernière partie de l’adresse web, « azgcvhzauig.es » est un site d’hameçonnage appartenant à un pirate.

Conclusion

Les acteurs malveillants inventent sans cesse de nouvelles tactiques plus sophistiquées pour dissimuler des liens dangereux dans les e-mails de phishing. Ils utilisent des astuces avec des espaces, des symboles et des adresses web de manière à paraître fiables à première vue. Ces méthodes font qu’il est beaucoup plus difficile pour les utilisateurs (et les logiciels de sécurité traditionnels) de savoir s’ils ont affaire à un site web potentiellement dangereux.

La meilleure défense est une approche multicouche avec différents niveaux de sécurité qui peuvent repérer, inspecter et bloquer les activités inhabituelles ou inattendues. Avec des solutions qui disposent de capacités d’IA, d’apprentissage automatique, aussi bien pour le stade de la passerelle de messagerie que pour les e-mails déjà transmis, les entreprises sont assurées d’être bien protégées. Comme pour toutes les menaces transmises par e-mail, la mise en œuvre de mesures de sécurité doit être accompagnée de séances régulières et dynamiques de formation de sensibilisation à la sécurité à l’intention des employés. Il est indispensable que cette formation couvre les dernières menaces, les moyens de les détecter et les actions à entreprendre pour les signaler.

Remarque : Ashitosh Deshnur a participé aux recherches dans le cadre de ce rapport.

Les analystes des menaces de Barracuda publient régulièrement des rapports sur l’évolution des tactiques d’attaque et des menaces par e-mail. Abonnez-vous à notre blog pour recevoir les dernières mises à jour.

Fermez la porte aux attaques omniprésentes par e-mail
Megharaj Balaraddi

Megharaj Balaraddi est analyste adjoint des menaces au sein de l’équipe d’analyse des menaces de Barracuda Networks. Il est titulaire d'un diplôme d'ingénieur en électronique et communications et se passionne pour anticiper les menaces émergentes, les projets de piratage éthique et l'exploration d'approches novatrices en matière de cyberdéfense.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 La rentrée scolaire marque aussi le retour des escroqueries
La rentrée scolaire marque aussi le retour des escroqueries
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.