Le malware ‘Adware.infatica P2B’ va transformer le poste infecté en proxy de type ‘residential proxies’. La mise en place d’un tel service de proxy sur les machines clientes crée potentiellement un danger pour vous-même, mais aussi pour l’établissement. En effet, celui-ci peut être utilisé par des acteurs malveillants pour mener des attaques, en particulier des attaques de phishing.

Il semblerait que le logiciel Infatica installe ses proxys silencieusement via des applications tierces.

Les proxies résidentiels vont aussi permettre de contourner les services de validation de type CAPTCHA ainsi que dans certain cas permettre de contourner l’authentification multifacteur (MFA) requise pour se connecter à des applications sécurisées.

Description de mécanisme d’installation des proxy (dans ’02 TECHNICAL ANALYSES OF SELECT RESIDENTIAL PROXY SERVICES’ ‘Infatica’) :

https://www.trendmicro.com/vinfo/be/security/news/vulnerabilities-and-exploits/a-closer-exploration-of-residential-proxies-and-captcha-breaking-services

Voir aussi les analyses sur VirusToTal de l’exécutable ‘Infatica P2B’ (infatica-service-app.exe) qui communiquent avec l’IP: 185.223.94.16:8886

https://www.virustotal.com/gui/file/6e77b21b5933a39bcb8a44be9349093bc8e3f1f72b1b104936091e0aa4688c69/relations

https://www.virustotal.com/gui/file/93b6805e2c28b2f798f2714f4bab976433ccc4ce9bd53147d819e938bf4b9407/relations

https://www.virustotal.com/gui/file/cee61565cb57e4c9dd09380ff9a966b398c7521d34f864e71e9ba234ca16c62f/relations