Source et contexte: Bitdefender Labs (blog Bitdefender) publie une analyse couvrant la période 9 février–5 mars 2026, menée par Alecsandru Daj et Alexandra Dinulica, qui recense 310 campagnes de malvertising diffusées via des publicités payantes sur Meta. L’étude met en évidence une infrastructure mondiale coordonnée de fraude à l’investissement, active et adaptable, s’étendant à au moins 25 pays et 6 continents, avec plus de 26 000 occurrences publicitaires localisées en 15+ langues.
• Portée et modèle opérationnel: L’écosystème se compose de plusieurs sous-campagnes structurées de manière identique, exploitées par 2 à 3 groupes d’opérateurs partageant un playbook et un outillage communs, dans un modèle affilié / franchise modulaire. Les récits varient (scandale TV, testament de célébrité, « plateforme nationale d’investissement »), mais l’objectif reste la génération de leads (nom, email, téléphone) vers des arnaques à l’investissement (dépôts, plateformes à haut risque, schémas type options binaires/crypto). Des signaux opérationnels russophones sont observés dans les métadonnées (sans preuve d’adossement étatique). L’infrastructure évolue via churn créatif, rotation de domaines et migration des techniques entre régions.
• Funnel d’arnaque (scam funnel) 🪤: 1) Post sponsorisé Facebook semblant montrer un « scoop »/interview supprimée. 2) Aperçu de domaine semblant fiable (parfois cloné). 3) Chaîne de redirections vers une destination douteuse. 4) Faux article/narratif dramatique incitant à « s’inscrire ». 5) Collecte d’informations personnelles. 6) Pression téléphonique par un « broker » vers un dépôt minimum, avec tableau de bord factice affichant de faux profits et retraits difficiles/impossibles. Certaines variantes mènent aussi vers des sites clonés ou boutiques frauduleuses pour de futures opérations.
• Gabarits narratifs et zones visées 🎯: Trois archétypes dominent: Scandale bancaire en direct (~35%), Testament de célébrité (~40%), Exposition de personnalité politique (~25%), plus un sous-ensemble grec de clickbait politico-économique. Les régions les plus exposées par parts d’observations incluent la Pologne (18–20%), l’Italie (15–17%), l’Espagne (11–13%) et la France (11–13%). De nombreuses marques/institutions sont usurpées (p. ex. BBC/Bank of England, Le Soir, Libertatea, Blick/UBS, Onet.pl, Gazeta.pl, Banco Santander, BBVA, DNB, CBC/Royal Bank, Commonwealth Bank, Bank of Japan/Yomiuri, etc.).
• Techniques d’évasion et d’industrialisation 🛡️: Les acteurs abusent du “whitelisted domain sandwiching” (aperçus de domaines de confiance, y compris google.com et grands médias), de fermes de domaines média factices, de la substitution homoglyphique cyrillique pour contourner les filtres, et de la rotation de pages Facebook peu crédibles. Particularité Italie: cloaking via sites de restaurants légitimes comme leurres d’aperçu. Des signatures UTM/pixel communes, des métadonnées russophones/ukrainophones (ex. « лиды », « крео », « Копия », « Италия/Испания ») et un timing coordonné attestent d’une architecture mutualisée.
• Études de cas et variantes locales 🧩: Exemples notables: « Banker Mic-Drop » adaptant des figures locales (p. ex. UBS/Blick en Suisse; Bank of England au UK; Santander/BBVA en Espagne; Intesa Sanpaolo en Italie; DNB aux Pays-Bas), le « Testament de célébrité » (ex. Magda Umer en Pologne; Roland Courbis en France; variantes en Norvège, Roumanie, Inde, Brésil), un mix roumain (studio TV avec Florin Piersic/Denise Rifai; confrontation BCR/Sergiu Manea) et un sous-campagne Grèce (in.gr, titraille politico-économique). Un cas roumain met en scène une usurpation de DIGI24 et l’usage de deepfakes (ex. Mugur Isărescu, Florin Talpeș) pour une fausse « plateforme nationale d’investissement ».
IOCs (extraits de domaines malveillants) 🧪:
- flowcraftty.pro (United Kingdom)
- buzzera.store (United Kingdom)
- liwanagor.pro (Romania)
- chertpostup.com (France)
- realnewsupdate.info (Greece)
- infobr24.pro (Greece)
- logicaquiferup.info (Italy)
- altimesrios.xyz (Italy)
- solgrikvix.info (Belgium)
- shinyclarity.com (Poland)
- nutritiousroad.com (Poland)
TTPs observés (non exhaustif) 🔧:
- Whitelisted domain preview abuse (aperçus sur domaines de confiance, redirections invisibles)
- Chaînes de redirection vers pages d’investissement frauduleuses; cloaking (Italie: sites de restaurants légitimes en appât)
- Usurpation de médias / domain squatting / typosquatting (lookalikes, farms de domaines)
- Homoglyphes cyrilliques pour contourner les filtres automatiques
- Rotation de pages Facebook et churn créatif pour diluer la détection; rotation de domaines et migration interrégionale des techniques
- Réutilisation de signatures UTM/pixel et paramètres d’annonces (métadonnées russophones/ukrainophones)
- Funnel lead-gen avec call-centers, tableaux de bord factices, pressions aux dépôts et blocage de retraits
Il s’agit d’une analyse de menace visant à cartographier une infrastructure de fraude publicitaire à l’investissement, à documenter ses récits, ses techniques d’évasion et ses artefacts, et à en attribuer les signaux opérationnels observables.
🧠 TTPs et IOCs détectés
TTP
[‘Whitelisted domain preview abuse’, ‘Chaînes de redirection vers pages d’investissement frauduleuses’, ‘Cloaking’, ‘Usurpation de médias / domain squatting / typosquatting’, ‘Homoglyphes cyrilliques pour contourner les filtres automatiques’, ‘Rotation de pages Facebook et churn créatif’, ‘Rotation de domaines et migration interrégionale des techniques’, ‘Réutilisation de signatures UTM/pixel et paramètres d’annonces’, ‘Funnel lead-gen avec call-centers, tableaux de bord factices, pressions aux dépôts et blocage de retraits’]
IOC
[‘flowcraftty.pro’, ‘buzzera.store’, ’liwanagor.pro’, ‘chertpostup.com’, ‘realnewsupdate.info’, ‘infobr24.pro’, ’logicaquiferup.info’, ‘altimesrios.xyz’, ‘solgrikvix.info’, ‘shinyclarity.com’, ’nutritiousroad.com’]
🔗 Source originale : https://www.bitdefender.com/en-us/blog/labs/global-investment-scam-network-using-meta-ads?srsltid=AfmBOorqSQIHKZhid2muAVgMfvc96BfB2cNqlg-WMlGZsE2QrH4d7eP2