Barracuda full logo

Neue Phishing-Techniken zur Umgehung der Erkennung: ASCII-basierte QR-Codes und „Blob“-URIs

Themen:
9. Okt.. 2024
|

Selbst die ausgefeiltesten Phishing-Kampagnen scheitern, wenn sie die Sicherheitsmechanismen nicht überwinden können. Es überrascht daher nicht, dass Cyberkriminelle weiterhin neue Techniken ausprobieren, um einer Entdeckung zu entgehen.

In diesem Blog stellen wir zwei neue Ausweichtechniken vor, die kürzlich von den Bedrohungsanalysten von Barracuda entdeckt wurden.

Beim ersten handelt es sich um einen QR-Code, der nicht aus einem statischen Bild besteht, sondern aus Kombinationen von ASCII/Unicode-Zeichen vom Typ „Block“ ( █ ). Diese Taktik soll verhindern, dass Sicherheitssoftware die bösartige URL aus dem QR-Code extrahiert.

Die zweite Technik beinhaltet die Verwendung von Blob URIs (binary large object uniform resource identifiers), die auf lokal generierte Daten im Browser zugreifen, anstatt auf bekannte bösartige Domains zurückzugreifen. Diese Blob-URIs werden dynamisch erstellt und können schnell ablaufen, was ihre Verfolgung und Analyse erschwert. Da einige Sicherheitskontrollen Blob-URIs nicht so gründlich prüfen wie herkömmliche HTTP- oder HTTPS-Links, können Phishing-Versuche unter Verwendung solcher URIs erste Erkennungsmechanismen umgehen.

Eine neue Generation bösartiger QR-Codes

Vor einem Jahr stieg das Volumen der  QR-Code-basierten Phishing-Angriffe schlagartig an. Die Daten von Barracuda zeigen, dass im letzten Quartal 2023 etwa 1 von 20 Postfächern Ziel von QR-Code-Angriffen war. 

Bei diesen Angriffen handelte es sich im Allgemeinen um statische, bildbasierte QR-Codes. Angreifer betteten bösartige Links in den QR-Code ein und forderten die Benutzer auf, den Code zu scannen. Dadurch wurden sie auf eine gefälschte Seite weitergeleitet, bei der es sich scheinbar um einen vertrauenswürdigen Dienst oder eine vertrauenswürdige Anwendung handelte.

Die Sicherheitsmaßnahmen wurden schnell angepasst. Tools wie das Scannen mit optischer Zeichenerkennung (OCR) können bösartige URLs in QR-Codes extrahieren, prüfen und blockieren.

Die Bedrohungsanalysten von Barracuda haben eine neue Generation von QR-Code-Phishing identifiziert, die darauf ausgelegt ist, OCR-basierte Abwehrmaßnahmen zu umgehen. Bei diesen Angriffen wird das QR-Code-'Bild' aus ASCII/Unicode-Zeichen erstellt.

In einer E-Mail sieht er wie ein herkömmlicher QR-Code aus, und für ein typisches OCR-Erkennungssystem erscheint es bedeutungslos.

Beispiel 1

Bei dem Phishing-Angriff scheint es sich um eine vom Admin geteilte Datei mit dem Titel „Payroll and Benefits Enrolment“ zu handeln. Wenn ein ahnungsloser Empfänger den QR-Code scannt und auf den Link klickt, wird er zu einer gefälschten Microsoft-Anmeldeseite weitergeleitet.

Bei genauerem Hinsehen zeigt der QR-Code eine Linie zwischen jedem Block, da der QR-Code nicht als Bild, sondern mit den Zeichen „Full Block“ (█) erstellt wurde:.

Beispiel für einen ASCII-basierten QR-Code
Der QR-Code ist eine 49x49-Matrix aus ‚Full Block‘ (█). Um ihn wie einen überzeugenden QR-Code aussehen zu lassen, wird überall dort, wo weiße Flächen im QR-Code benötigt werden, ein Cascading Style Sheet (CSS) verwendet, um die Textfarbe der Blockzeichen vollständig transparent zu machen und sie unsichtbar zu machen.
Beispiel für die Verwendung von CSS in einem ASCII-basierten QR-Code-Angriff

Beispiel 2

In diesem Fall versucht der Angreifer, sich als das Kurierunternehmen DHL auszugeben und fordert den Empfänger auf, ein Formular auszufüllen, indem er den QR-Code scannt. Wenn der QR-Code gescannt wird, leitet er das Opfer auf eine Phishing-Website weiter.

Beispiel für einen ASCII-Unicode-basierten QR-Code-Angriff

Der QR-Code besteht aus einer Kombination der Unicode-Zeichen: „Lower Half Block“ (0x2584) für die horizontalen Linien und „Full Block“ (0x2588) für die vertikalen Linien. In diesem Fall wird der „Non-Breaking Space“ (nbsp) verwendet, um die weißen Flecken im QR-Code zu erstellen.

Eine Vielzahl von Kombinationen

Wie die obigen Beispiele zeigen, gibt es mehrere Möglichkeiten, einen „Block“ mit dem ASCII- oder Unicode-Zeichensatz darzustellen.

Tatsächlich gibt es 32 verschiedene „Block“-Zeichen, die in drei Hauptkategorien unterteilt sind:

  • Full Blocks - 3
  • Partial Blocks - 17
  • Quadrants - 12

Diese können jeweils in Phishing-E-Mails mit HTML-Entität, UTF-8-Kodierung oder UTF-16-Kodierung codiert werden. Mit anderen Worten, es gibt 96 mögliche Kombinationen.

In der folgenden Tabelle sind die verschiedenen Möglichkeiten aufgeführt, wie „Block“-Zeichen auf Phishing-Seiten verwendet werden können:

Möglichkeiten, wie 'Block'-Zeichen verwendet werden können

Darüber hinaus kann im Fall von HTML-Entitäten jeder „Block“ mehrere Repräsentationen haben, und Angreifer können einzelne Blöcke oder Blockkombinationen verwenden, um ihre ASCII-/Unicode-basierten QR-Codes zu generieren. Dies alles erhöht die Gesamtzahl der möglichen Kombinationen und macht die Erkennung von ASCII-basierten QR-Codes schwierig.

Barracuda empfiehlt, dass, wenn Sicherheitstechnologien die mögliche Verwendung eines ASCII-QR-Codes bei einem Phishing-Angriff erkennen, die einfachste Lösung darin besteht, einen Screenshot der Phishing-E-Mail zu erstellen und diesen an eine OCR-Engine weiterzuleiten, um die URL hinter dem QR-Code auszulesen.

Das Ausweichpotenzial von Blob-URIs

Eine Blob-URI (auch bekannt als Blob-URL oder Objekt-URL) wird von Browsern verwendet, um Binärdaten oder dateiähnliche Objekte (sogenannte Blobs) darzustellen, die vorübergehend im Speicher des Browsers gespeichert werden.

Blob-URIs ermöglichen es Webentwicklern, mit Binärdaten wie Bildern, Videos oder Dateien direkt im Browser zu arbeiten, ohne diese von einem externen Server senden oder abrufen zu müssen.

Da Blob-URIs keine Daten von externen URLs laden, können herkömmliche URL-Filter- und Scan-Tools den Inhalt möglicherweise nicht sofort als bösartig erkennen.

Angreifer erstellen Phishing-Seiten mit Blob-URIs in der Hoffnung, dass es für Erkennungssysteme schwieriger wird, bösartige Inhalte zu identifizieren und zu blockieren.

Der erste von Barracuda-Bedrohungsanalysten entdeckte Phishing-Angriff, der Blob-URIs nutzte, versuchte, Capital One zu imitieren und den Benutzer mit „Review Your Account“ zur Interaktion zu bewegen. Dabei wurde der Benutzer auf eine zwischengeschaltete Phishing-Seite weitergeleitet, die eine Blob-URI erzeugte und den Browser schnell zur neu erstellten Linkadresse umleitete. 

Beispiel für einen Blob-URI-Phishing-Angriff
Die Blob-URI zeigt dem Opfer die gefälschte CapitalOne-Anmeldeseite an.
Blob-URI-Phishing-Seite

Bedrohungsanalysten haben auch bemerkt, dass die Blob-URI-Technik in Phishing-Angriffen verwendet wird, bei denen sich Angreifer als Chase und Air Canada ausgeben.

Fazit

Ausweichende Phishing-Techniken haben sich erheblich weiterentwickelt und stellen eine wachsende Bedrohung für Unternehmen dar. Cyberangreifer verfeinern ständig ihre Methoden, um herkömmliche Sicherheitsmaßnahmen zu umgehen. Da Phishing-Angriffe immer ausgefeilter werden, ist es unerlässlich, mehrschichtige Verteidigungsstrategien umzusetzen und eine starke Sicherheitskultur zu fördern.

Megharaj Balaraddi, Associate Threat Analyst bei Barracuda, hat ebenfalls zu den Recherchen für diesen Blogpost beigetragen.

Bericht: Die wichtigsten E-Mail-Bedrohungen und -Trends
Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Vorteile für einen frühen Anwender
BarracudaONE: Vorteile für einen frühen Anwender
 Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.