Se ha detectado un nuevo malware llamado 'Cuttlefish' que infecta routers de nivel empresarial y de pequeñas oficinas/oficinas domésticas (SOHO) para monitorear los datos que pasan a través de ellos y robar información de autenticación.
Black Lotus Labs, de Lumen Technologies, examinó el nuevo malware e informa que Cuttlefish crea un proxy o túnel VPN en el router comprometido para exfiltrar datos discretamente mientras elude las medidas de seguridad que detectan inicios de sesión inusuales.
El malware también puede realizar secuestros de DNS y HTTP dentro de espacios IP privados, interfiriendo con las comunicaciones internas y posiblemente introduciendo más cargas útiles.
Aunque Cuttlefish tiene un código que se superpone con HiatusRat, que se ha observado anteriormente en campañas que se alinearon con los intereses del estado chino, no hay vínculos concretos entre los dos, y la atribución era imposible.
Black Lotus Labs dice que el malware ha estado activo desde al menos julio de 2023. Actualmente está llevando a cabo una campaña activa concentrada en Turquía, con algunas infecciones en otros lugares que afectan a los servicios de telefonía satelital y centros de datos.
Infecciones por sepia
El método para la infección inicial de los enrutadores aún no se ha determinado, pero podría implicar la explotación de vulnerabilidades conocidas o credenciales de fuerza bruta.
Una vez que se obtiene acceso a un enrutador, se implementa un script bash ("s.sh") y comienza a recopilar datos basados en host, incluidos detalles sobre la lista de directorios, los procesos en ejecución y las conexiones activas.
El script descarga y ejecuta la carga útil principal de Cuttlefish (".timezone"), que se carga en la memoria para evadir la detección mientras el archivo descargado se borra del sistema de archivos.
Black Lotus Labs informa que Cuttlefish está disponible en varias versiones compatibles con ARM, i386, i386_i686, i386_x64, mips32 y mips64, cubriendo la mayoría de las arquitecturas de enrutadores.
Monitoreando tu tráfico
Tras la ejecución, Cuttlefish utiliza un filtro de paquetes para monitorear todas las conexiones a través del dispositivo y, cuando detecta datos específicos, realiza una acción particular basada en conjuntos de reglas que se actualizan regularmente desde el servidor de comando y control (C2) del atacante.
El malware rastrea pasivamente los paquetes en busca de "marcadores de credenciales" dentro del tráfico, como nombres de usuario, contraseñas y tokens, especialmente asociados con servicios basados en la nube pública como Alicloud, AWS, Digital Ocean, CloudFlare y BitBucket.
"Esto nos llamó la atención, ya que muchos de estos servicios se utilizarían para almacenar datos que de otro modo se encontrarían dentro de la red", explica el informe de Black Lotus Labs.
"La captura de credenciales en tránsito podría permitir a los actores de amenazas copiar datos de recursos en la nube que no tienen el mismo tipo de registro o controles que los perímetros de red tradicionales".
Los datos que coinciden con esos parámetros se registran localmente y, una vez que alcanzan un cierto tamaño (1048576 bytes), se filtran al C2 mediante una VPN punto a punto (n2n) o un túnel proxy (socks_proxy) creado en el dispositivo.
En el caso del tráfico destinado a direcciones IP privadas, las solicitudes DNS se redirigen a un servidor DNS especificado y las solicitudes HTTP se manipulan para redirigir el tráfico a la infraestructura controlada por el actor mediante códigos de error HTTP 302.