El equipo Black Lotus Labs de Lumen Technologies ha revelado hoy la existencia de un nuevo malware llamado Cuttlefish, que tiene como objetivo principal los routers de oficinas pequeñas y oficinas en el hogar (SOHO). Su propósito es monitorear de forma encubierta todo el tráfico a través de estos dispositivos y recopilar datos de autenticación de las solicitudes HTTP GET y POST.
Este malware es modular y está diseñado para robar información de autenticación presente en las solicitudes web que pasan a través del router desde la red local adyacente (LAN), además de tener la capacidad de realizar secuestro de DNS y HTTP para conexiones a espacios IP privados asociados con comunicaciones internas.
El malware Cuttlefish ha estado activo desde julio de 2023, llevando a cabo su última campaña desde octubre de 2023 hasta abril de 2024. Durante este periodo, infectó principalmente 600 direcciones IP únicas asociadas con dos proveedores de telecomunicaciones turcos.
Se han encontrado pruebas de superposiciones con otro grupo de actividades conocido como HiatusRAT, aunque no se ha observado victimología compartida hasta la fecha, lo que sugiere que estas dos operaciones se están ejecutando simultáneamente.
Aunque no está claro el vector de acceso inicial utilizado para comprometer los routers, se ha identificado un punto de apoyo exitoso seguido por la implementación de un script de bash que recopila datos del host. Estos datos se envían a un dominio controlado por un actor, posteriormente se descarga y ejecuta la carga útil de Cuttlefish desde un servidor dedicado dependiendo de la arquitectura del router.
El malware está diseñado para realizar un espionaje pasivo de los paquetes de red con el objetivo de identificar datos de autenticación asociados con servicios basados en la nube pública, como Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare y BitBucket, utilizando un filtro de paquetes Berkeley extendido (eBPF).
Además, tiene la capacidad de actuar como proxy y VPN para transmitir los datos capturados a través del router infiltrado, lo que permite a los actores de amenazas utilizar las credenciales robadas para acceder a recursos específicos en la nube.
La firma de ciberseguridad describe a Cuttlefish como la última evolución en malware de espionaje pasivo para equipos de red perimetral, ya que combina múltiples atributos, incluyendo la capacidad de manipular rutas, secuestrar conexiones y emplear la capacidad de espionaje pasivo para obtener material de autenticación clave.
Vía The Hacker News
