L'Autorité des marchés financiers met en garde les professionnels contre une vague d’utilisation frauduleuse de son identité pouvant inciter à exécuter un programme informatique malveillant

Les investigations techniques sont en cours mais les éléments connus à ce jour sont :

Premier scénario

Le contenu de l’email reçu est « Hier, des documents vous ont été envoyés pour examen. Veuillez confirmer que vous les avez bien reçus » ;

• Les éléments techniques sont les suivants :
  • période observée par l’AMF de réception de ces emails frauduleux : journée du 13/05/2025, aux alentours de 11h51 ;
  • objet de l’email : « Objet : Avis de violation du code | Loi n° 35 de 2007 » ;
  • expéditeur technique de l’email : « autoritemarchesfinanciersfr [at] amf-france.org.transmen.ro » ;
  • l’expéditrice de l’email, une certaine Madame « Fremont », serait prétendument collaboratrice de l’AMF en tant que « Directeur administratif ». L’AMF précise que cette personne, dont l’identité a été usurpée, n’est pas une collaboratrice de l’AMF.

Second scénario

L’email reçu évoque une prétendue « session de formation dédiée aux directeurs financiers issus des secteurs public et privé » sur « les enjeux réglementaires et financiers » et pour laquelle le destinataire est invité à cliquer sur un lien malveillant (encadré en rouge ci-contre pour illustration) qui contiendrait « les détails liés à cette formation : programme, modalités d’inscription, date, heure et lieu ».

• A la suite d’un clic sur les liens, la victime est redirigée sur un site Web l’incitant à télécharger un prétendu fichier PDF. Ce prétendu fichier PDF, qui est en réalité un fichier ZIP, contient un script d’automatisation d’actions Windows au format VBScript (Visual Basic Scripting Edition) qui entraine, s’il est exécuté, des actions silencieuses et invisibles pour la victime :
   
  • le téléchargement et l’exécution d’un premier fichier « pull.pdf », qui est en réalité un fichier de script Windows au format WSH (Windows Script Host) ;
  • l’exécution de ce script « pull.pdf » entraine :
    • le téléchargement et l’exécution d’un fichier « trm », qui est en réalité un fichier ZIP contenant deux programmes d’accès à distance : Netbird et OpenSSH;
    • l’installation des deux programmes d’accès à distance;
    • la création et l’ajout d’un utilisateur système avec les privilèges d’administration, dénommé « user », dont le mot de passe est fixé avec la valeur « Bs@202122 »;
    • l’activation de la fonctionnalité Windows d’accès en bureau à distance (RDP, Remote Desktop Protocol).

Par une succession d’actions malveillantes, cette attaque via phishing par usurpation de l’identité de l’AMF vise à installer plusieurs capacités d’accès à distance sur le poste de travail de la victime, afin d’en prendre le contrôle, permettant ainsi de s’introduire dans le Système d’Information.

La finalité de ce mode opératoire d’attaque (MOA) n’est pas encore connue, mais doit très probablement s’inscrire parmi les différentes menaces documentées par l’ANSSI (https://cyber.gouv.fr/tendances-les-cybermenaces) dont notamment : attaque à but lucratif (dont rançongiciel), espionnage, déstabilisation.

• Les éléments techniques sont les suivants :

  • période observée par l’AMF de réception de ces emails frauduleux : journée du 15/05/2025 aux alentours de 7h50 ;
  • objet de l’email : « AMF INVITATION - Formation sur les enjeux réglementaires et financiers » ;
  • l’expéditeur de l’email serait une certaine Madame « Rochon », prétendument collaboratrice de l’AMF, ce qui est faux ; 
    Dans la mesure où a minima une personne physique semble correspondre à cette identité, nous ne souhaitons pas communiquer son prénom, qui est donc remplacé par « XXX » dans ce marqueur d’expéditeur technique de l’email : « XXX-rochon-863563468397286976298728 [at] notarius.net » ;
  • liens vers les sites malveillants :
    • « https://googl-6c11f[.]firebaseapp[.]com/scan/file-846873865383[.]html »
    • « http://192[.]3[.]95[.]152/cloudshare/atr/trm »
    • « http://192[.]3[.]95[.]152/cloudshare/atr/pull.pdf »
    • « http://192[.]3[.]95[.]152/cloudshare/»
    • « http://192[.]3[.]95[.]152/ »
  • adresse IP malveillante : « 192[.]3[.]95[.]152 » ;
  • noms des fichiers malveillants avec leur empreinte cryptographique SHA-256:
    • « Scan_15052025-736574.zip » : 4219f334ea58e32281e474fbbad020e6a0fb67a9ed11e250f240231505ce5220
    • « Scan_15052025-736574.vbs » : f04b4532952bd0dd5a6a47ed8710f89519cdf8f0b8392d560e359bb466ccab38
    • « pull.pdf » : d34b190baccd02b6b61e349f2cad4bfed5c0c38855ac70ec4063294dbed9c939
    • « trm » : 96a6802d147b381a41efd46d972689662dd8babeb5a4d4cb2c37548c4d28bded

L'AMF invite les professionnels qui recevraient de tels emails en lien avec ces scénarios à :

• faire une recherche d’antériorité sur leur système d’information : pour cela, les crochets insérés "[" et "]" dans les éléments techniques ci-dessus doivent être supprimés ;
• ne pas cliquer sur les liens frauduleux proposés dans le message et ne pas exécuter les programmes informatiques malveillants, afin d’empêcher tout risque d’infection ;
• mettre en œuvre les mesures techniques de blocage appropriées ;
• et contacter l'équipe d'AMF Epargne Info Service, en indiquant comme objet :
  • pour le premier scénario : « LOI35 » ;
  • pour le second scénario : « ROCHON » ;
  • en priorité, via le formulaire sur le site https://www.amf-france.org/fr/signaler-une-arnaque-ou-une-anomalie
  • ou également par téléphone au 01 53 45 62 00, du lundi au vendredi de 9h à 12h30.

L'AMF transmet par ailleurs ces éléments au procureur de la République.