
Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Phishing-E-Mails enthalten oft bösartige Links (URLs), die Opfer auf gefälschte Websites führen, wo sie mit schädlicher Software infiziert oder dazu verleitet werden, Daten wie ihre Zugangsdaten preiszugeben.
Da Security-Tools immer besser darin werden, diese gefährlichen Links zu erkennen und zu blockieren, finden Angreifer hinterhältige neue Wege, um sie zu verstecken und die Sicherheitssysteme zu umgehen.
Die Bedrohungsanalysten von Barracuda haben bereits über solche sich entwickelnden und zunehmend ausgefeilteren Taktiken berichtet. Dieser Artikel betrachtet einige der neuesten Ansätze, die das Team bei Angriffen mit dem fortschrittlichen Phishing-as-a-Service (PhaaS)-Kit „Tycoon“ beobachtet hat. Die verwendeten Techniken zielen darauf ab, die Struktur von Links zu verschleiern, durcheinanderzubringen und zu stören. Dies soll automatisierte Erkennungssysteme verwirren und sicherstellen, dass die Links nicht blockiert werden.
Links mithilfe von Leerzeichen und obskuren Zeichen ausblenden
Die Analysten fanden heraus, dass Tycoon URL-Kodierungstechniken einsetzt, um bösartige Links bei Angriffen zu verbergen, die einen vertrauenswürdigen Buchhaltungsdienst ausnutzen.
Die Angriffe umfassen sorgfältig erstellte und maßgeschneiderte Voicemail-Nachrichten:

Die von den Angreifern verwendete URL-Kodierung umfasst folgende Aktionen:
- Einfügen einer Reihe unsichtbarer Leerzeichen in die Webadresse (mit dem Code „%20“), um den bösartigen Teil des Links aus dem Blickfeld von Sicherheitsscans zu entfernen.
- Hinzufügen von ungewöhnlichen Zeichen, wie einem „Unicode“-Symbol, das wie ein Punkt aussieht, aber keiner ist.
- Einfügen einer versteckten E-Mail-Adresse oder eines speziellen Codes am Ende der Webadresse.
Der kodierte Pfad kann auch als Tracker dienen oder eine bösartige Umleitung auslösen.
So sieht eine URL mit kodierten Leerzeichen (%20) aus:


Durch die Verwendung unerwarteter und ungewöhnlicher Codes und Symbole sowie die weniger verdächtige Gestaltung der sichtbaren Webadresse, die mehr wie eine normale Website aussieht, soll die Verschlüsselungstechnik Security-Systeme austricksen und es Empfängern und herkömmlichen Filtern erschweren, die Bedrohung zu erkennen.
Die Tycoon-Angriffe umfassen auch eine gefälschte Verifizierungsphase, wie einen überzeugenden CAPTCHA-Test „Beweisen Sie, dass Sie kein Roboter sind“, um die Website legitimer erscheinen zu lassen und grundlegende Security-Überprüfungen zu umgehen.
Ergänzen von Webadressen, um das tatsächliche Ziel zu verschleiern
Analysten entdeckten außerdem Angreifer, die die Technik „Redundant Protocol Prefix“ einsetzten. Dabei wird eine URL erstellt, die nur teilweise mit einem Hyperlink versehen ist oder ungültige Elemente enthält, wie z. B. zwei „https“ oder kein „//“, um das eigentliche Ziel des Links zu verbergen. Gleichzeitig wird sichergestellt, dass der aktive Teil harmlos und legitim aussieht und bei den Zielpersonen oder deren Browser-Kontrollen keinen Verdacht erregt.
Ein weiterer Trick besteht darin, das Symbol „@“ in einer Webadresse zu verwenden. Alles vor dem „@“ wird von Browsern als „Nutzerinformationen“ behandelt, daher fügen Angreifer etwas ein, das seriös und vertrauenswürdig aussieht, wie zum Beispiel „Office365“. Das tatsächliche Ziel des Links folgt nach dem „@“.
Zum Beispiel:

Was Empfänger und Filter sehen: hxxps:office365Scaffidips[.]azgcvhzauig[.]es\If04
Wo es wirklich hinführt: Nach dem „@“ zu einer versteckten, von Angreifern betriebenen Website
Angreifer können auch Webadressen mit ungewöhnlichen Symbolen verwenden, wie Backslashes „\“ oder Dollarzeichen „$“, die normalerweise nicht in URLs verwendet werden. Diese ungewöhnlichen Zeichen können das Lesen der Adresse durch Security-Tools stören und dazu beitragen, dass ein schädlicher Link unbemerkt durch automatische Erkennungssysteme schlüpft.
Das Analystenteam hat kürzlich Redundant-Protocol-Taktiken bei einem Tycoon-Angriff beobachtet, der Microsoft 365 imitiert.
In diesem Fall erstellten die Angreifer eine URL, bei der der erste Teil harmlos und als Hyperlink formatiert ist, während der zweite, bösartige Teil als einfacher Text erscheint. Wenn Nutzer die gesamte URL kopieren und in ihren Browser einfügen, führt dies zu einer Phishing-Seite, die Zugangsdaten stiehlt und zum Tycoon-Phishing-Kit gehört. Da der bösartige Teil des Links mit nichts verbunden ist, wird er von Security-Tools nicht richtig gelesen.

Missbrauch von Subdomains, um vertrauenswürdig zu erscheinen
Der Tycoon-Angriff wies auch eine weitere Aufteilung in gutartig/bösartig auf, diesmal für Subdomains.
Die Angreifer erstellten gefälschte Websites mit Namen, die scheinbar mit bekannten Unternehmen verbunden sind. Beispiel: „office365Scaffidips.azgcvhzauig.es“. Dadurch entsteht der Eindruck, es mit einer Microsoft-Subdomain zu tun zu haben. Der letzte Teil der Webadresse: „azgcvhzauig.es“ ist jedoch eine Phishing-Site, die dem Angreifer gehört.
Fazit
Angreifer erfinden ständig neue und ausgefeiltere Methoden, um gefährliche Links in Phishing-E-Mails zu tarnen. Sie tricksen mit Leerzeichen, Symbolen und Webadressen auf eine Weise, die auf den ersten Blick vertrauenswürdig erscheint. Diese Methoden machen es nicht nur für Menschen, sondern auch für herkömmliche Security-Software viel schwieriger zu erkennen, ob sie auf eine riskante Website gelockt werden.
Die beste Verteidigung ist ein mehrschichtiger Ansatz mit verschiedenen Sicherheitsebenen, die ungewöhnliche oder unerwartete Aktivitäten erkennen, untersuchen und blockieren können. Lösungen mit KI und maschinellem Lernen sowohl auf E-Mail-Gateway-Ebene als auch nach der Bereitstellung sorgen für einen guten Schutz der Unternehmen. Wie bei allen Bedrohungen, die von E-Mails ausgehen, sollten die Sicherheitsmaßnahmen durch aktive und regelmäßige Schulungen zur Stärkung des Risikobewusstseins der Mitarbeiter über die neuesten Bedrohungen und deren Erkennung und Meldung ergänzt werden.
Hinweis: Bei der Recherche für diesen Bericht hat Ashitosh Deshnur mitgewirkt.
Die Bedrohungsanalysten von Barracuda berichten regelmäßig über sich entwickelnde E-Mail-Bedrohungen und Angriffstaktiken. Abonnieren Sie unseren Blog für Updates.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.