Cuttlefish Malwaro

Um novo malware conhecido como Cuttlefish concentra-se em roteadores de pequenos escritórios e escritórios domésticos (SOHO), com o objetivo de monitorar discretamente todo o tráfego que passa por esses dispositivos e coletar dados de autenticação de solicitações HTTP GET e POST.

Este malware específico é construído de forma modular, visando principalmente o roubo de informações de autenticação de solicitações da Web que passam pelo roteador na rede local (LAN). Além disso, possui a capacidade de realizar sequestro de DNS e HTTP para conexões dentro de um espaço IP privado, normalmente associado a comunicações de rede interna.

Há indicações do código-fonte que sugerem semelhanças com um cluster de atividades previamente identificado, conhecido como HiatusRAT, embora nenhum caso de vitimologia compartilhada tenha sido observado até o momento. Parece que essas duas operações estão ativas simultaneamente.

O Vetor de Infecção para os Dispositivos Comprometidos pelo Cuttlefish Malware 

O Cuttlefish está ativo pelo menos desde 27 de julho de 2023, com a sua última campanha abrangendo de outubro de 2023 a abril de 2024. Durante este período, visou principalmente 600 endereços de IP únicos ligados a dois fornecedores de telecomunicações turcos.

O método específico usado para acesso inicial para comprometer equipamentos de rede permanece obscuro. No entanto, uma vez estabelecida uma base, um script bash é implantado para coletar dados do host, incluindo/etc., conteúdos, processos em execução, conexões ativas e montagens. Essas informações são então enviadas para um domínio controlado pelo autor da ameaça ('kkthreas.com/upload'). Posteriormente, ele baixa e executa a carga útil do Cuttlefish de um servidor dedicado baseado na arquitetura específica do roteador (por exemplo, Arm, mips32 e mips64, i386, i386_i686, i386_x64, etc).

O Cuttlefish Malware pode Comprometer Credenciais Cruciais das Vítimas

Um recurso de destaque desse malware é sua capacidade de detecção passiva projetada especificamente para direcionar dados de autenticação de serviços de nuvem pública como Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare e BitBucket, obtida por meio de um Berkeley Packet Filter estendido (eBPF). ).

O malware opera com base em um conjunto de regras que o direciona para sequestrar o tráfego destinado a um endereço IP privado ou ativar uma função de sniffer para o tráfego direcionado a um IP público, permitindo o roubo de credenciais sob condições específicas. As regras de sequestro são recuperadas e atualizadas a partir de um servidor de Comando e Controle (C2) estabelecido para esse fim, com conexão segura por meio de certificado RSA incorporado.

Além disso, o malware pode atuar como proxy ou VPN, permitindo que os dados capturados sejam transmitidos através do roteador comprometido e facilitando aos agentes da ameaça o uso de credenciais coletadas para acessar recursos direcionados.

Os pesquisadores descrevem o Cuttlefish como uma forma avançada de malware de espionagem passiva para equipamentos de rede de ponta, combinando vários recursos, como manipulação de rotas, sequestro de conexão e detecção passiva. Com o material de autenticação desviado, os agentes da ameaça não apenas obtêm acesso aos recursos de nuvem associados ao alvo, mas também estabelecem uma posição segura nesse ecossistema de nuvem.