One Article Review
| Source |  ProofPoint |
|---|---|
| Identifiant | 8669268 |
| Date de publication | 2025-04-28 11:03:18 (vue: 2025-04-29 04:07:05) |
| Titre | Mémoire de sécurité: L'acteur de menace de BEC française cible les paiements de propriétés Security Brief: French BEC Threat Actor Targets Property Payments |
| Texte | Ce qui s'est passé Proofpoint a identifié et nommé un nouveau acteur de menace par courrier électronique à motivation financière (BEC) acteur menant une fraude, TA2900. Cet acteur envoie des e-mails en français en utilisant des thèmes de paiement de location pour cibler les personnes en France et parfois au Canada. Dans ces campagnes, les messages prétendent informer le destinataire que le versement de location de leur propriété n'a pas été reçu et pour soumettre le paiement immédiatement. De plus, les messages indiquent que les détails du compte bancaire de la société de location ont changé et leur ordonne d'envoyer leur prochain paiement de loyer à un nouveau compte en utilisant les détails du numéro de compte bancaire international (IBAN) fourni par l'attaquant. Les chercheurs ont observé que les détails Iban changent fréquemment, l'acteur enverra généralement deux à trois campagnes en utilisant le même compte bancaire, avant de passer à un nouveau. Proofpoint a observé près de deux douzaines de numéros Iban sur plus de 50 campagnes attribuées à cet acteur à ce jour. Les détails Iban sont souvent fournis par l'attaquant dans le corps du message ou de l'attachement. À d'autres occasions, les messages ne contiennent pas d'informations de compte bancaire. Dans ces cas, l'acteur demande à la victime de répondre à l'e-mail pour recevoir les nouveaux coordonnées bancaires pour le prochain paiement de location. Les comptes bancaires sont enregistrés dans des banques françaises qui semblent être principalement des succursales «à faible coût» de grandes institutions financières. Les destinataires sont invités à répondre aux comptes Freemail hébergés par des services comme Gmail ou Outlook, avec des preuves de leur dernier paiement de location, et dans certains cas l'autorisation pour le paiement automatique de futurs versements de loyer, au compte bancaire contrôlé par l'attaquant. Exemples de messages TA2900, y compris les numéros Iban et BIC. La plupart des campagnes sont envoyées à partir de boîtes aux lettres compromises appartenant à des établissements d'enseignement dans diverses régions et utilisent une ligne d'objet générique, par exemple «Loyer» et «Nouveau Rib». Le terme «côte» fait référence à «pertinent d \\ 'identité bancaire» (qui se traduit à peu près par «déclaration d'identité du compte bancaire»). Les premières campagnes comprenaient souvent des PDF ci-joints à l'aide de logos et de déclarations telles que «Gestion Locative de Bien Immobilier» («Rental Property Management»), «Garantie des Loyers» (garantie de loyer) et «Immobilier de geste Comptabilité» («Real Estate Management Comptabiling»). Chaque fois que des documents PDF sont joints aux e-mails, ils transportent tous des logos similaires à ceux utilisés dans les pièces jointes à partir de campagnes antérieures par le même acteur. L'acteur utilise moins fréquemment les accessoires PDF depuis la fin 2024. Exemple PDF pour la campagne TA2900. En raison de la phrase inhabituelle et du contenu du corps des e-mails des messages observés dans les campagnes, il est possible que les e-mails soient écrits à l'aide d'une IA générative. Cependant, cela ne peut pas être confirmé par rédaction. Attribution La recherche sur les menaces de preuves évalue avec une grande confiance que l'objectif de TA2900 est un vol financier. L'emplacement exact de cet acteur est inconnu, mais ils connaissent probablement le processus de paiement de location pour les propriétés en France et peuvent avoir des informations sur les propriétés locatives identifiées dans les campagnes. Comme les campagnes sont presque exclusivement en français et utilisent des comptes bancaires de langue française, une couche de légitimité existe, donnant au destinataire un faux sentiment de sécurité. La langue observée dans les e-mails pourrait être générée par une application de traduction linguistique, ce qui signifie que l'acteur peut |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | 12 17 18 20 2024 2025 20 24 24 25 29 @hotmail about account accounting” accounts across act acting action actor additionally alert all almost and/or anxiety any appear application applications are assess assesses attached attachment attachments attacker attributed attribution authorization automatic avoid bancaire” bank banks based bec been before belonging bic bien body branches brief: bureaugestionetcomptabilite@outlook business but campaign campaigns canada cannot carry cases cause change changed characterized com company compromise compromised compta comptabilité” comptable com conducting confidence confirmed contain content controlled cornerstone cost” could country credential credentials date demands des description details disclosing divulging documents don dozen due early education educational email email emails email emotion emotional engineering estate etc eviction evidence exact example examples exclusively exists false fees financial financially first fluent fr france fraud freemail french frequently from fr future generated generative generic gestion gestion58@yahoo gestionimmo@mail gestionimmo@yahoo gestionimmobilier060@gmail gestionimmolocative862@gmail gestionimolocative@gmail giving global gmail good guarantee happened has have help high hosted however human humans iban identified identity identité immediate immediately immo immo@outlook immobilier immobilier” important included including indicate indicator infogestionlocative897@gmail inform information installing installment installments institutions instructed instructs intended interest international iocs kaufmanbroad278@gmail keylogger knowledgeable language large late latest layer legitimacy less leveraging lgestion283@googlemail like likely line located location locative locative310@gmail locative3@gmail logos loyer loyers” lures mailboxes malware management management” matters may meaning media message messages messaging money most mostly motivated named new next not number numbers objective observed obtained occasionally occasions often one opportunistically other outlook over overdue overlook pause payment payments pdf pdfs penalties people performing phishing phrasing possible potential previous prior process proofpoint properties property provided provokes purport quickly reassess receive received recipient recipients refers regions registered rely rent rental reply research researchers response rib roughly same scam security seen send sending sends sense sensitive sent services similar since social some sources speaking state statements statement” strong subject submit successful such switching system ta2900 tactic target targeted targets term theft them themes these those threat threats three through translates translation trick two unknown unpaid unusual upon use used users using usually utilize various victim what whenever which why will writing written “bank “garantie “gestion “low “loyer” “nouveau “real “relevé “rental “rib” |
| Tags | Malware Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.