I ricercatori del Black Lotus Labs hanno individuato un nuovo malware che infetta router enterprise e SOHO. Cuttlefish permette il monitoraggio del traffico di rete e il furto dei dati di autenticazione. Può inoltre creare tunnel VPN o proxy e dirottare le richieste HTTP o DNS. Dato che il codice è simile a quello di un altro malware (HiatusRAT), i cybercriminali potrebbero essere cinesi.
Un malware molto pericoloso
I ricercatori non hanno scoperto il metodo usato per l’infezione iniziale, ma probabilmente è stata sfruttata una vulnerabilità o effettuato un attacco brute-force per ottenere le credenziali di login. Il malware è attivo da luglio 2023. La campagna più recente è terminata ad aprile 2024. La maggioranza delle vittime si trovava in Turchia.
Dopo aver ottenuto l’accesso al router, i cybercriminali installano un script bash per raccogliere alcuni dati, tra cui i processi in esecuzione e le connessioni attive. Successivamente lo script scarica Cuttlefish che viene caricato in memoria per aggirare la rilevazione, mentre il file viene cancellato. A questo punto iniziano le attività di sniffing e hijacking.
Il malware monitora tutto il traffico attraverso il router e, quando identifica dati utili, esegue specifici comandi (ricevuti dal server C2) per “catturare” username, password e token associati a noti servizi cloud, tra cui Alicloud, AWS, Digital Ocean, Cloudflare e BitBucket. I dati sono quindi inviati al server C2 tramite tunnel VPN e proxy creati sul router.
Altri comandi ricevuti dal server remoto permettono al malware di dirottare il traffico destinato agli indirizzi IP privati. Le richieste DNS vengono reindirizzate verso uno specifico server DNS, mentre le richieste HTTP sono manipolate inserendo un codice di errore 302 nel flusso di dati per reindirizzare il traffico verso l’infrastruttura controllata dai cybercriminali.
I ricercatori consigliano di installare il firmware più recente, riavviare spesso il router e cambiare le password predefinite.