Alerta: novo malware Cuttlefish é identificado
2 de Maio de 2024

Um novo malware chamado Cuttlefish está mirando roteadores de pequenos escritórios e escritórios domésticos (SOHO) com o objetivo de monitorar de forma furtiva todo o tráfego através dos dispositivos e coletar dados de autenticação de solicitações HTTP GET e POST.


"Esse malware é modular, projetado primariamente para roubar material de autenticação encontrado em solicitações web que transitam pelo roteador a partir da rede local adjacente (LAN)", a equipe da Black Lotus Labs na Lumen Technologies disse em um relatório publicado hoje.


"Uma função secundária lhe dá a capacidade de realizar ambos, hijacking de DNS e HTTP para conexões a espaço de IP privado, associado a comunicações em uma rede interna."
Há evidências no código-fonte que sugerem sobreposições com outro cluster de atividade previamente conhecido como HiatusRAT, embora nenhuma vitimologia compartilhada tenha sido observada até o momento.

Cuttlefish está ativo desde pelo menos 27 de julho de 2023, com a campanha mais recente ocorrendo de outubro de 2023 a abril de 2024, infectando predominantemente 600 endereços IP únicos associados a dois provedores de telecomunicações turcos.

O vetor de acesso inicial exato usado para comprometer os equipamentos de rede não está claro.

Entretanto, um ponto de apoio bem-sucedido é seguido pelo deployment de um script bash que coleta dados do host, como o conteúdo de /etc, processos em execução, conexões ativas e montagens, e exfiltra os detalhes para um domínio controlado pelo ator ("kkthreas[.]com/upload").

Subsequentemente, ele baixa e executa o payload do Cuttlefish de um servidor dedicado dependendo da arquitetura do roteador (por exemplo, Arm, i386, i386_i686, i386_x64, mips32 e mips64).

Um aspecto notável é que o sniffing passivo dos pacotes da rede é primariamente projetado para selecionar dados de autenticação associados a serviços baseados na nuvem pública como Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare e BitBucket, criando um extended Berkeley Packet Filter (eBPF).

Essa funcionalidade é regida com base em um conjunto de regras que dita o malware para ou sequestrar o tráfego destinado a um endereço IP privado ou iniciar uma função de sniffer para o tráfego indo para um IP público a fim de roubar credenciais, se certos parâmetros forem atendidos.

As regras de hijacking, por sua vez, são recuperadas e atualizadas de um servidor de comando e controle (C2) configurado para esse propósito após estabelecer uma conexão segura com ele usando um certificado RSA embutido.


O malware também está equipado para agir como um proxy e uma VPN para transmitir os dados capturados através do roteador infiltrado, permitindo assim que os atores da ameaça usem as credenciais roubadas para acessar recursos visados.

"Cuttlefish representa a última evolução em malware de escuta passiva para equipamentos de rede de borda [...] pois combina múltiplos atributos," a firma de cibersegurança disse.


Ele tem a capacidade de realizar manipulação de rota, sequestrar conexões e emprega capacidade de sniffing passivo.Com o material chave roubado, o ator não apenas recupera recursos na nuvem associados à entidade visada, mas também ganha um ponto de apoio nesse ecossistema na nuvem.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...