Novo malware Cuttlefish sequestra conexões de roteador e fareja credenciais de nuvem
![malware](https://i2.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhyNe67nDISGXYhECsz8hjhhdrir3btsZyG8G7-SMmVBbX-Kjq3e3l3wHvdrfcNhvnMsAdSM4dI4cMBB1IPJS3kuUMfwhS3O8EudzdIL29HAKxF-FXE4rmDq34uOmSZv6puZDe9xItkpvPYHne5lf1G_AULXbrHpyenhpxvr4OJqMaM-awJh_XMc0EGo_BQ/s728-rw-e365/malware.png?w=780&resize=780,470&ssl=1)
![Malware de choco Malware de choco](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhyNe67nDISGXYhECsz8hjhhdrir3btsZyG8G7-SMmVBbX-Kjq3e3l3wHvdrfcNhvnMsAdSM4dI4cMBB1IPJS3kuUMfwhS3O8EudzdIL29HAKxF-FXE4rmDq34uOmSZv6puZDe9xItkpvPYHne5lf1G_AULXbrHpyenhpxvr4OJqMaM-awJh_XMc0EGo_BQ/s728-rw-e365/malware.png)
Um novo malware chamado Choco tem como alvo roteadores para pequenos escritórios e escritórios domésticos (SOHO) com o objetivo de monitorar furtivamente todo o tráfego através dos dispositivos e coletar dados de autenticação de solicitações HTTP GET e POST.
“Este malware é modular, projetado principalmente para roubar materials de autenticação encontrado em solicitações da internet que transitam pelo roteador da rede native (LAN) adjacente”, disse a equipe do Black Lotus Labs da Lumen Applied sciences em um relatório publicado hoje.
“Uma função secundária dá-lhe a capacidade de realizar sequestro de DNS e HTTP para conexões a espaços IP privados, associados a comunicações em uma rede interna.”
Há evidências no código-fonte que sugerem sobreposições com outro grupo de atividades anteriormente conhecido, chamado HiatusRAT, embora nenhuma vitimologia compartilhada tenha sido observada até o momento. Diz-se que essas duas operações estão sendo executadas simultaneamente.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuUUskkMH9dUT3LF77_Q_irGuaE4LGjp-Am2Ls_UzGJ5EBnZHfuFiSvKs4OPE5KmfedBHcuZZVHS4Bh48UJx8brpwtg6Vr2Gepbaw-lGMIm9HjUhyphenhyphen2W5DVm5-ymwPS691Ie32TrCqFIv6SxNRA-jOKCKZrOB5dV7BfL0zVAhOO0neNkP9yv-XePBU1hN_0/s728-e365/wing-d.png)
O Cuttlefish está ativo desde pelo menos 27 de julho de 2023, com a última campanha ocorrendo de outubro de 2023 a abril de 2024 e infectando predominantemente 600 endereços IP exclusivos associados a dois provedores de telecomunicações turcos.
O vetor de acesso inicial exato usado para comprometer o equipamento de rede não é claro. No entanto, um ponto de apoio bem-sucedido é seguido pela implantação de um script bash que reúne dados do host, como o conteúdo de /and many others, processos em execução, conexões ativas e montagens, e exfiltra os detalhes para um domínio controlado pelo ator (“kkthreas( .)com/add”).
![Malware de choco Malware de choco](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQAzqScxQxbIA7hrVwrfhXS-x7vHpa2xdrm-lReMW4xiFd7GGIJc-xhjMetzUKQC3H7Nf5z_E5WWtwHKlx9bqJKwjco200XVHKp7AbJCBJ4XGy7YsKtqTEwwARnkAq76sUNXTTt1lXv3QDV2wBSo1vjf-OPSEx1dWjXAMcK2ZtQcXg3VasfxBJTt58baL1/s728-rw-e365/code.png)
Posteriormente, ele baixa e executa a carga útil do Cuttlefish de um servidor dedicado, dependendo da arquitetura do roteador (por exemplo, Arm, i386, i386_i686, i386_x64, mips32 e mips64).
Um aspecto digno de nota é que a detecção passiva dos pacotes de rede é projetada principalmente para destacar dados de autenticação associados a serviços públicos baseados em nuvem, como Alicloud, Amazon Net Providers (AWS), Digital Ocean, CloudFlare e BitBucket, criando um Berkeley estendido. Filtro de pacotes (eBPF).
Essa funcionalidade é governada com base em um conjunto de regras que determina que o malware sequestre o tráfego destinado a um endereço IP privado ou inicie uma função de sniffer para o tráfego direcionado a um IP público, a fim de roubar credenciais se determinados parâmetros forem atendidos.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_WRs2jRYPNRPdVnIJ52g0Zo3TY_c0FSwk8ZZN085hqm-nXig4b7WIZCpqdHexadU4EmZ402vX1EghcAxIZGa9lwLkWAPPYzPbg1gc5UZCbvTtOHQ3ozwiQAgJ1ahKFoOp8SZl-JN8_URGwiu9aTe5U2wiVHGEetM-S7kKkmgPMNdL_83d5HTJrLm7iBp6/s728-e365/cis-d.png)
As regras de sequestro, por sua vez, são recuperadas e atualizadas a partir de um servidor de comando e controle (C2) configurado para esse fim, após estabelecer uma conexão segura com ele usando um certificado RSA incorporado.
O malware também está equipado para atuar como proxy e VPN para transmitir os dados capturados através do roteador infiltrado, permitindo assim que os agentes da ameaça usem as credenciais roubadas para acessar os recursos direcionados.
“Cuttlefish representa a mais recente evolução em malware de espionagem passiva para equipamentos de rede de ponta (…) pois combina múltiplos atributos”, disse a empresa de segurança cibernética.
“Ele tem a capacidade de realizar manipulação de rotas, sequestrar conexões e emprega capacidade de detecção passiva. Com o materials chave roubado, o ator não apenas recupera recursos de nuvem associados à entidade visada, mas também ganha uma posição nesse ecossistema de nuvem.”