Ce groupe envoie des e-mails en français prétendant que le paiement du loyer n’a pas été reçu, incitant les victimes à effectuer un paiement immédiat sur un nouveau compte bancaire. Les attaques exploitent l’ingénierie sociale en suscitant l’anxiété chez les victimes pour les pousser à agir rapidement sans vérifier les informations.

Voici les principales conclusions de l’analyse :

• TA2900 envoie des e-mails frauduleux informant les destinataires que leur paiement de loyer n’a pas été reçu et les incite à effectuer un paiement immédiat sur un nouveau compte bancaire (IBAN) fourni par l’attaquant.
• Les e-mails sont souvent envoyés depuis des boîtes aux lettres gratuites comme Gmail et Outlook, utilisant des sujets génériques comme "Loyer" ou "Nouveau RIB".
• Les IBAN utilisés par TA2900 changent fréquemment, ce qui rend la détection plus difficile.
• L’acteur semble bien connaître le processus de paiement des loyers en France, ajoutant une couche de légitimité à l’escroquerie.

Pour les chercheurs de Proofpoint, « Les leurres par e-mail qui alertent les utilisateurs des versements de location impayés et en retard sont destinés à provoquer de l’anxiété chez les destinataires de ces campagnes afin qu’ils agissent rapidement pour éviter une expulsion potentielle et/ou des intérêts, des pénalités et des frais. »