Selon Malwarebytes (blog Threat Intel), une campagne de phishing de remboursement usurpe l’identité visuelle d’Avast pour pousser des utilisateurs francophones à divulguer leurs coordonnées complètes et leurs données de carte bancaire sous prétexte d’un remboursement de 499,99 €.

— Le site frauduleux reproduit fidèlement l’interface d’Avast (logo servi depuis le CDN officiel) et affiche un débit du jour en insérant dynamiquement la date locale, tout en fixant le montant à -€499,99. Un bandeau d’alerte contradictoire (« 72h » vs « 48h ») crée un sentiment d’urgence, et un formulaire collecte identité, coordonnées et adresse avant d’exiger le numéro de carte, date d’expiration et CVV pour soi‑disant créditer le remboursement.

— Des éléments techniques renforcent la crédibilité et l’efficacité de la fraude : validation Luhn des numéros de carte, envoi des données par requête POST vers send.php en JSON (toutes les données personnelles et de paiement), puis redirection vers une page de confirmation « Your application is being processed — Thank you for your inquiry » avec un bouton « Uninstalling Avast » incitant à retirer le logiciel de sécurité.

— Particularité marquante, un widget de chat en direct Tawk.to permet aux opérateurs d’intervenir en temps réel pour lever les doutes et pousser à finaliser la saisie. Identifiants mentionnés : compte 689773de2f0f7c192611b3bf, widget code 1j27pp82q.

— Le piège vise plusieurs profils à la fois : • Client Avast mécontent d’un renouvellement perçu comme indésirable. • Abonné « oublié » qui ne se souvient plus de son inscription. • Non‑client alarmé qui craint une fraude immédiate (profil le plus vulnérable). • Opportuniste cherchant à encaisser un faux remboursement.

— Signaux d’alerte listés par Malwarebytes : • Date du jour injectée pour un débit prétendument récent. • Fenêtre d’annulation urgente pour forcer l’action. • Demande des données complètes de carte pour un « remboursement ». • Aucun login / preuve d’achat requis. • Chat en direct insistant pour terminer le processus. • Invitation à désinstaller l’antivirus. • Domaine lookalike.

— Que faire si les données ont été soumises (extrait de l’article) : • Contacter la banque / l’émetteur pour bloquer la carte et contester les débits. • Ne pas attendre l’apparition d’une fraude. • Changer les mots de passe liés à l’email fourni. • Lancer un scan complet avec une solution de sécurité. • Maintenir les mises à jour et la protection web actives ; possibilité d’analyse via Malwarebytes Scam Guard.

IOC et TTPs observés:

  • TTPs: • Usurpation de marque Avast et ingénierie sociale via urgence/peur. • Injection de la date locale par JavaScript ; montant fixe de −€499,99. • Validation Luhn des cartes pour filtrer les erreurs. • Exfiltration par POST vers send.php avec payload JSON (PII + PAN + expiry + CVV). • Chat en direct Tawk.to pour accompagnement temps réel. • Redirection vers page de confirmation + incitation à désinstaller l’antivirus.
  • Artefacts/indicateurs: • Tawk.to account: 689773de2f0f7c192611b3bf; widget code: 1j27pp82q. • Endpoint: send.php (backend recevant le JSON). • Texte de confirmation: « Your application is being processed — Thank you for your inquiry ». • Bouton: « Uninstalling Avast ».

Conclusion: il s’agit d’une analyse de menace documentant une opération d’hameçonnage brand‑jacking visant la collecte de données de paiement à grande échelle, avec détails techniques et signes d’identification, ainsi que des mesures à prendre après exposition.

🧠 TTPs et IOCs détectés

TTP

[‘Usurpation de marque Avast et ingénierie sociale via urgence/peur’, ‘Injection de la date locale par JavaScript ; montant fixe de −€499,99’, ‘Validation Luhn des cartes pour filtrer les erreurs’, ‘Exfiltration par POST vers send.php avec payload JSON (PII + PAN + expiry + CVV)’, ‘Chat en direct Tawk.to pour accompagnement temps réel’, ‘Redirection vers page de confirmation + incitation à désinstaller l’antivirus’]

IOC

{’tawk.to_account’: ‘689773de2f0f7c192611b3bf’, ‘widget_code’: ‘1j27pp82q’, ’endpoint’: ‘send.php’, ‘confirmation_text’: ‘Your application is being processed — Thank you for your inquiry’, ‘button_text’: ‘Uninstalling Avast’}

🔗 Source originale : https://www.malwarebytes.com/fr/blog/threat-intel/2026/02/refund-scam-impersonates-avast-to-harvest-credit-card-details