El malware Cuttlefish está lejos de ser lindo, es una amenaza informática muy peligrosa

El malware Cuttlefish, a pesar de su nombre aparentemente inofensivo, representa una amenaza significativa para los enrutadores de oficinas pequeñas y domésticas (SOHO). Su objetivo principal es monitorear clandestinamente el tráfico de red que pasa a través de estos dispositivos y recopilar datos de autenticación de solicitudes HTTP GET y POST. Según un informe del equipo de Black Lotus Labs en Lumen Technologies, Cuttlefish opera como un malware modular, con un enfoque principal en robar información de autenticación transmitida a través de la red de área local (LAN) del enrutador. Además, tiene la capacidad de realizar secuestro de DNS y HTTP para conexiones a espacios de IP privados dentro de una red interna.

Hay indicios de que Cuttlefish comparte similitudes con otro malware conocido llamado HiatusRAT, aunque hasta el momento no se han observado casos de victimología compartida. Cuttlefish ha estado activo desde al menos el 27 de julio de 2023, y su última campaña se desarrolló desde octubre de 2023 hasta abril de 2024 y afectó predominantemente a 600 direcciones IP únicas asociadas con dos proveedores de telecomunicaciones turcos.

El vector de acceso inicial utilizado por Cuttlefish para comprometer el equipo de red aún no está claro. Sin embargo, una vez que se afianza, implementa un script bash para recopilar datos del host y exfiltrarlos a un dominio controlado por el actor. Posteriormente, descarga y ejecuta la carga útil de Cuttlefish adaptada a la arquitectura del enrutador. En particular, Cuttlefish se centra en la detección pasiva de paquetes de red para apuntar a datos de autenticación asociados con servicios públicos basados en la nube como Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare y BitBucket, utilizando un filtro de paquetes Berkeley extendido (eBPF).

La funcionalidad del malware se rige por un conjunto de reglas recuperadas de un servidor de comando y control (C2), lo que le permite secuestrar el tráfico destinado a direcciones IP privadas o iniciar una función de rastreo para el tráfico dirigido a IP públicas para robar credenciales. Además, Cuttlefish puede actuar como proxy y VPN para transmitir datos capturados a través del enrutador comprometido, lo que permite a los actores de amenazas acceder a recursos específicos utilizando credenciales robadas.

En resumen, Cuttlefish representa una evolución sofisticada en el malware de escucha pasiva para equipos de redes perimetrales, que combina manipulación de rutas, secuestro de conexiones y capacidades de rastreo pasivo. Su capacidad para robar datos de autenticación no solo otorga acceso a los recursos de la nube, sino que también establece un punto de apoyo dentro del ecosistema de la nube de la entidad objetivo, lo que representa una amenaza importante para la ciberseguridad.