Um novo malware chamado Cuttlefish está mirando roteadores de pequenos escritórios e escritórios domésticos (SOHO) com o objetivo de monitorar de forma furtiva todo o tráfego através dos dispositivos e coletar dados de autenticação de solicitações HTTP GET e POST.
"Esse malware é modular, projetado primariamente para roubar material de autenticação encontrado em solicitações web que transitam pelo roteador a partir da rede local adjacente (LAN)", a equipe da Black Lotus Labs na Lumen Technologies disse em um relatório publicado hoje.
"Uma função secundária lhe dá a capacidade de realizar ambos, hijacking de DNS e HTTP para conexões a espaço de IP privado, associado a comunicações em uma rede interna."
Há evidências no código-fonte que sugerem sobreposições com outro cluster de atividade previamente conhecido como HiatusRAT, embora nenhuma vitimologia compartilhada tenha sido observada até o momento.
Cuttlefish está ativo desde pelo menos 27 de julho de 2023, com a campanha mais recente ocorrendo de outubro de 2023 a abril de 2024, infectando predominantemente 600 endereços IP únicos associados a dois provedores de telecomunicações turcos.
O vetor de acesso inicial exato usado para comprometer os equipamentos de rede não está claro.
Entretanto, um ponto de apoio bem-sucedido é seguido pelo deployment de um script bash que coleta dados do host, como o conteúdo de /etc, processos em execução, conexões ativas e montagens, e exfiltra os detalhes para um domínio controlado pelo ator ("kkthreas[.]com/upload").
Subsequentemente, ele baixa e executa o payload do Cuttlefish de um servidor dedicado dependendo da arquitetura do roteador (por exemplo, Arm, i386, i386_i686, i386_x64, mips32 e mips64).
Um aspecto notável é que o sniffing passivo dos pacotes da rede é primariamente projetado para selecionar dados de autenticação associados a serviços baseados na nuvem pública como Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare e BitBucket, criando um extended Berkeley Packet Filter (eBPF).
Essa funcionalidade é regida com base em um conjunto de regras que dita o malware para ou sequestrar o tráfego destinado a um endereço IP privado ou iniciar uma função de sniffer para o tráfego indo para um IP público a fim de roubar credenciais, se certos parâmetros forem atendidos.
As regras de hijacking, por sua vez, são recuperadas e atualizadas de um servidor de comando e controle (C2) configurado para esse propósito após estabelecer uma conexão segura com ele usando um certificado RSA embutido.
O malware também está equipado para agir como um proxy e uma VPN para transmitir os dados capturados através do roteador infiltrado, permitindo assim que os atores da ameaça usem as credenciais roubadas para acessar recursos visados.
"Cuttlefish representa a última evolução em malware de escuta passiva para equipamentos de rede de borda [...] pois combina múltiplos atributos," a firma de cibersegurança disse.
Ele tem a capacidade de realizar manipulação de rota, sequestrar conexões e emprega capacidade de sniffing passivo.Com o material chave roubado, o ator não apenas recupera recursos na nuvem associados à entidade visada, mas também ganha um ponto de apoio nesse ecossistema na nuvem.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...