O malware Choco está longe de ser fofo, é uma ameaça informática muito perigosa
O malware Cuttlefish, apesar de seu nome aparentemente inofensivo, representa uma ameaça significativa para roteadores de pequenos escritórios e escritórios domésticos (SOHO). Seu objetivo principal é monitorar clandestinamente o tráfego de rede que passa por esses dispositivos e coletar dados de autenticação de solicitações HTTP GET e POST. De acordo com um relatório da equipe Black Lotus Labs da Lumen Technologies, o Cuttlefish opera como um malware modular, com foco principal no roubo de informações de autenticação transmitidas pela rede local (LAN) do roteador. Além disso, ele tem a capacidade de realizar sequestro de DNS e HTTP para conexões a espaços IP privados em uma rede interna.
Há indicações de que o Cuttlefish compartilha semelhanças com outro malware conhecido chamado HiatusRAT, embora ainda não tenham sido observados casos de vitimologia compartilhada. A Cuttlefish está ativa desde pelo menos 27 de julho de 2023, com a sua última campanha a decorrer de outubro de 2023 a abril de 2024, afetando predominantemente 600 endereços IP únicos associados a dois fornecedores de telecomunicações turcos.
O vetor de acesso inicial usado pelo Cuttlefish para comprometer equipamentos de rede permanece obscuro. No entanto, uma vez consolidado, ele implanta um script bash para coletar dados do host e exfiltrá-los para um domínio controlado por um ator. Posteriormente, ele baixa e executa a carga útil do Cuttlefish adaptada à arquitetura do roteador. Notavelmente, Cuttlefish se concentra na detecção passiva de pacotes de rede para direcionar dados de autenticação associados a serviços públicos baseados em nuvem, como Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare e BitBucket, utilizando um Berkeley Packet Filter (eBPF) estendido.
A funcionalidade do malware é governada por um conjunto de regras recuperado de um servidor de comando e controle (C2), permitindo sequestrar o tráfego destinado a endereços IP privados ou iniciar uma função de sniffer para o tráfego direcionado a IPs públicos para roubar credenciais. Além disso, o Cuttlefish pode atuar como proxy e VPN para transmitir dados capturados através do roteador comprometido, permitindo que os agentes da ameaça acessem recursos direcionados usando credenciais roubadas.
Em resumo, o Cuttlefish representa uma evolução sofisticada em malware de espionagem passiva para equipamentos de rede de ponta, combinando manipulação de rotas, sequestro de conexão e capacidades de detecção passiva. A sua capacidade de roubar dados de autenticação não só concede acesso aos recursos da nuvem, mas também estabelece uma posição no ecossistema da nuvem da entidade visada, representando uma ameaça significativa à segurança cibernética.