Barracuda full logo

Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links

Themen:
3. Sept.. 2025
|
Megharaj Balaraddi

Phishing-E-Mails enthalten oft bösartige Links (URLs), die Opfer auf gefälschte Websites führen, wo sie mit schädlicher Software infiziert oder dazu verleitet werden, Daten wie ihre Zugangsdaten preiszugeben.

Da Security-Tools immer besser darin werden, diese gefährlichen Links zu erkennen und zu blockieren, finden Angreifer hinterhältige neue Wege, um sie zu verstecken und die Sicherheitssysteme zu umgehen.

Die Bedrohungsanalysten von Barracuda haben bereits über solche sich entwickelnden und zunehmend ausgefeilteren Taktiken berichtet. Dieser Artikel betrachtet einige der neuesten Ansätze, die das Team bei Angriffen mit dem fortschrittlichen Phishing-as-a-Service (PhaaS)-Kit „Tycoon“ beobachtet hat. Die verwendeten Techniken zielen darauf ab, die Struktur von Links zu verschleiern, durcheinanderzubringen und zu stören. Dies soll automatisierte Erkennungssysteme verwirren und sicherstellen, dass die Links nicht blockiert werden.

Links mithilfe von Leerzeichen und obskuren Zeichen ausblenden

Die Analysten fanden heraus, dass Tycoon URL-Kodierungstechniken einsetzt, um bösartige Links bei Angriffen zu verbergen, die einen vertrauenswürdigen Buchhaltungsdienst ausnutzen.

Die Angriffe umfassen sorgfältig erstellte und maßgeschneiderte Voicemail-Nachrichten:

Beispiel für eine Phishing-E-Mail mit versteckten URLs

Die von den Angreifern verwendete URL-Kodierung umfasst folgende Aktionen:

  • Einfügen einer Reihe unsichtbarer Leerzeichen in die Webadresse (mit dem Code „%20“), um den bösartigen Teil des Links aus dem Blickfeld von Sicherheitsscans zu entfernen.
  • Hinzufügen von ungewöhnlichen Zeichen, wie einem „Unicode“-Symbol, das wie ein Punkt aussieht, aber keiner ist.
  • Einfügen einer versteckten E-Mail-Adresse oder eines speziellen Codes am Ende der Webadresse.

Der kodierte Pfad kann auch als Tracker dienen oder eine bösartige Umleitung auslösen.

So sieht eine URL mit kodierten Leerzeichen (%20) aus:

Beispiel für eine URL mit einem codierten Leerzeichen
So erscheint diese URL auf dem Computer:
Beispiel für eine URL mit versteckten Leerzeichen

Durch die Verwendung unerwarteter und ungewöhnlicher Codes und Symbole sowie die weniger verdächtige Gestaltung der sichtbaren Webadresse, die mehr wie eine normale Website aussieht, soll die Verschlüsselungstechnik Security-Systeme austricksen und es Empfängern und herkömmlichen Filtern erschweren, die Bedrohung zu erkennen.

Die Tycoon-Angriffe umfassen auch eine gefälschte Verifizierungsphase, wie einen überzeugenden CAPTCHA-Test „Beweisen Sie, dass Sie kein Roboter sind“, um die Website legitimer erscheinen zu lassen und grundlegende Security-Überprüfungen zu umgehen.

Ergänzen von Webadressen, um das tatsächliche Ziel zu verschleiern

Analysten entdeckten außerdem Angreifer, die die Technik „Redundant Protocol Prefix“ einsetzten. Dabei wird eine URL erstellt, die nur teilweise mit einem Hyperlink versehen ist oder ungültige Elemente enthält, wie z. B. zwei „https“ oder kein „//“, um das eigentliche Ziel des Links zu verbergen. Gleichzeitig wird sichergestellt, dass der aktive Teil harmlos und legitim aussieht und bei den Zielpersonen oder deren Browser-Kontrollen keinen Verdacht erregt.

Ein weiterer Trick besteht darin, das Symbol „@“ in einer Webadresse zu verwenden. Alles vor dem „@“ wird von Browsern als „Nutzerinformationen“ behandelt, daher fügen Angreifer etwas ein, das seriös und vertrauenswürdig aussieht, wie zum Beispiel „Office365“. Das tatsächliche Ziel des Links folgt nach dem „@“.

Zum Beispiel:

Beispiel für einen Trick in einem bösartigen Link

Was Empfänger und Filter sehen: hxxps:office365Scaffidips[.]azgcvhzauig[.]es\If04

Wo es wirklich hinführt: Nach dem „@“ zu einer versteckten, von Angreifern betriebenen Website

Angreifer können auch Webadressen mit ungewöhnlichen Symbolen verwenden, wie Backslashes „\“ oder Dollarzeichen „$“, die normalerweise nicht in URLs verwendet werden. Diese ungewöhnlichen Zeichen können das Lesen der Adresse durch Security-Tools stören und dazu beitragen, dass ein schädlicher Link unbemerkt durch automatische Erkennungssysteme schlüpft.

Das Analystenteam hat kürzlich Redundant-Protocol-Taktiken bei einem Tycoon-Angriff beobachtet, der Microsoft 365 imitiert.

In diesem Fall erstellten die Angreifer eine URL, bei der der erste Teil harmlos und als Hyperlink formatiert ist, während der zweite, bösartige Teil als einfacher Text erscheint. Wenn Nutzer die gesamte URL kopieren und in ihren Browser einfügen, führt dies zu einer Phishing-Seite, die Zugangsdaten stiehlt und zum Tycoon-Phishing-Kit gehört. Da der bösartige Teil des Links mit nichts verbunden ist, wird er von Security-Tools nicht richtig gelesen.

Beispiel für eine bösartige URL in einer Phishing-E-Mail

Missbrauch von Subdomains, um vertrauenswürdig zu erscheinen

Der Tycoon-Angriff wies auch eine weitere Aufteilung in gutartig/bösartig auf, diesmal für Subdomains.

Die Angreifer erstellten gefälschte Websites mit Namen, die scheinbar mit bekannten Unternehmen verbunden sind. Beispiel: „office365Scaffidips.azgcvhzauig.es“. Dadurch entsteht der Eindruck, es mit einer Microsoft-Subdomain zu tun zu haben. Der letzte Teil der Webadresse: „azgcvhzauig.es“ ist jedoch eine Phishing-Site, die dem Angreifer gehört.

Fazit

Angreifer erfinden ständig neue und ausgefeiltere Methoden, um gefährliche Links in Phishing-E-Mails zu tarnen. Sie tricksen mit Leerzeichen, Symbolen und Webadressen auf eine Weise, die auf den ersten Blick vertrauenswürdig erscheint. Diese Methoden machen es nicht nur für Menschen, sondern auch für herkömmliche Security-Software viel schwieriger zu erkennen, ob sie auf eine riskante Website gelockt werden.

Die beste Verteidigung ist ein mehrschichtiger Ansatz mit verschiedenen Sicherheitsebenen, die ungewöhnliche oder unerwartete Aktivitäten erkennen, untersuchen und blockieren können. Lösungen mit KI und maschinellem Lernen sowohl auf E-Mail-Gateway-Ebene als auch nach der Bereitstellung sorgen für einen guten Schutz der Unternehmen. Wie bei allen Bedrohungen, die von E-Mails ausgehen, sollten die Sicherheitsmaßnahmen durch aktive und regelmäßige Schulungen zur Stärkung des Risikobewusstseins der Mitarbeiter über die neuesten Bedrohungen und deren Erkennung und Meldung ergänzt werden.

Hinweis: Bei der Recherche für diesen Bericht hat Ashitosh Deshnur mitgewirkt.

Die Bedrohungsanalysten von Barracuda berichten regelmäßig über sich entwickelnde E-Mail-Bedrohungen und Angriffstaktiken. Abonnieren Sie unseren Blog für Updates.

Blockieren Sie die weit verbreiteten E-Mail-Angriffe.
Megharaj Balaraddi

Megharaj Balaraddi ist ein Associate Threat Analyst im Bedrohungsanalyse-Team bei Barracuda Networks. Er hat einen Bachelor of Engineering in Elektronik und Kommunikation und ist leidenschaftlich daran interessiert, leidenschaftlich daran interessiert, immer einen Schritt voraus zu sein, wenn es um neue Bedrohungen geht, ethische Hacking-Projekte und die Erkundung innovativer Ansätze zur Cyber-Abwehr.

Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Vorteile für einen frühen Anwender
BarracudaONE: Vorteile für einen frühen Anwender
 Zurück zur Schule, zurück zu Betrug
Zurück zur Schule, zurück zu Betrug
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.