Los creadores del malware tienen especial interés en conseguir las credenciales de acceso a servicios en la nube
Con frecuencia hablamos acerca de los muchos tipos de malware que existen en la actualidad. Teniendo en cuenta la incidencia de este tipo de amenazas, conviene estar al tanto de su existencia para ser precavidos y evitar que afecte a nuestros dispositivos.
Por supuesto, el malware no es algo exclusivo del móvil o de los ordenadores: también puede afectar a dispositivos como el router. Es el caso de Cuttlefish (sepia, en español), un malware que se encarga de infectar el router para hacerse con las credenciales de acceso de los usuarios de la red.
Cuttlefish puede capturar los datos de inicio de sesión de los afectados
El equipo de Black Lotus Labs se ha encargado de explicar en detalle el funcionamiento de este malware con el objetivo de alertar acerca de sus riesgos, ya que se trata de una amenaza que puede tener consecuencias muy graves. Como decíamos, el objetivo que persiguen los creadores de este malware es robar los datos de inicio de sesión de los usuarios de la red.
Para conseguirlo, Cuttlefish crea un proxy y se encarga de monitorear la información que enviamos a través de la red. Cuando detecta un paquete de interés (como nombres de usuario y contraseñas) captura esta información para lograr acceder a los servicios y plataformas correspondientes. Según los investigadores, los creadores del malware tienen especial interés en los servicios en la nube.
Además, el malware también es capaz de realizar secuestros de DNS y HTTP (una técnica conocida por el término en inglés hijacking) con el objetivo de enviar a los usuarios a sitios web fraudulentos.
Actualmente, Cuttlefish está afectando principalmente a los routers de pequeñas y medianas empresas en Turquía. Uno de los problemas es que el malware pasa desapercibido, por lo que los usuarios siguen haciendo uso de la red como de costumbre.
Al parecer, Cuttlefish llevaría en circulación desde al menos julio de 2023, aunque hay evidencias que indican que podría haberse utilizado con anterioridad. La forma en la que comienza la infección no está clara, aunque podría ser aprovechando alguna vulnerabilidad existente o ataques de fuerza bruta.
Para protegernos ante este tipo de amenazas, Black Lotus Labs recomienda seguir las prácticas de seguridad más recomendadas, como mantener el router siempre actualizado y reiniciarlo con frecuencia. Además, es imprescindible utilizar contraseñas de red seguras y no olvidarnos de modificar la contraseña por defecto del router.