Arnaque Facebook : fausses offres Aldi volent les données bancaires des victimes

🗓️ Contexte

Article publié le 19 mai 2026 par Pieter Arntz sur le blog Malwarebytes. Il documente une campagne d’arnaque active sur Facebook ciblant des consommateurs en Australie, aux États-Unis et dans d’autres pays, en usurpant l’identité de la marque de supermarché Aldi.

🎣 Mécanisme de l’arnaque

Des publications Facebook provenant de comptes compromis ou fictifs proposent des boîtes de viande Aldi à moins de 10 $, en utilisant une histoire personnelle fictive pour paraître crédibles. Le lien malveillant est posté en commentaire (et non dans le post principal) pour contourner la détection automatique de la plateforme, via le service de raccourcissement d’URL cutt[.]ly.

🔗 Chaîne de redirection

1. Lien raccourci via cutt[.]ly
2. Redirection vers un site de fingerprinting JavaScript de l’appareil
3. Redirection vers gifts-survey[.]life — fausse page imitant le site Aldi, avec faux sentiment d’urgence (“1 place restante”, “2 minutes pour répondre”)
4. Redirection finale vers hyperbargainsflow[.]shop — page de collecte des données de paiement

💳 Données collectées

• Nom complet
• Coordonnées (email, téléphone)
• Adresse postale
• Informations de carte bancaire (sous prétexte de frais de livraison)
• Upsell optionnel pour livraison rapide

🧠 Techniques de manipulation

• Fausse histoire personnelle (ingénierie sociale)
• Restriction d’âge arbitraire (“plus de 40 ans”) pour créer un sentiment d’exclusivité
• Plus de 1 000 faux avis 5 étoiles
• Auto-complétion et auto-soumission du formulaire si les champs sont pré-remplis
• Urgence artificielle

🌍 Portée géographique

Campagnes similaires identifiées ciblant des clients Woolworths en Afrique du Sud et en Australie via de faux profils de bouchers. L’angle Aldi a également été observé dans d’autres pays.

📰 Nature de l’article

Article de presse spécialisée à visée d’alerte, documentant une campagne de scam active avec analyse technique de la chaîne de redirection et identification des IOCs malveillants.

🧠 TTPs et IOCs détectés

TTP

• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
• T1056.003 — Input Capture: Web Portal Capture (Collection)
• T1036 — Masquerading (Defense Evasion)
• T1608.006 — Stage Capabilities: SEO Poisoning (Resource Development)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)

IOC

• Domaines : cutt.ly — VT · URLhaus · ThreatFox
• Domaines : gifts-survey.life — VT · URLhaus · ThreatFox
• Domaines : hyperbargainsflow.shop — VT · URLhaus · ThreatFox
• URLs : https://gifts-survey.life/click — URLhaus

🟡 Indice de vérification factuelle : 50/100 (moyenne)

• ⬜ malwarebytes.com — source non référencée (0pts)
• ✅ 9792 chars — texte complet (fulltext extrait) (15pts)
• ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ 0/4 IOCs confirmés externellement (0pts)
• ✅ 6 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.malwarebytes.com/blog/scams/2026/05/facebook-scam-promises-cheap-aldi-meat-boxes-steals-payment-info-instead