Um novo malware, batizado de Cuttlefish, tem se infiltrado em roteadores de empresas e pequenas empresas, monitorando o tráfego de rede e roubando informações confidenciais. Desenvolvido para capturar credenciais de serviços em nuvem como AWS e Azure, o Cuttlefish representa uma ameaça significativa para a segurança de organizações de todos os portes..

Como o Cuttlefish funciona?

A infecção por Cuttlefish ocorre através da exploração de vulnerabilidades nos roteadores ou por meio de técnicas de força bruta em credenciais padrão. Uma vez dentro do sistema, o malware implanta um script que coleta informações sobre o dispositivo e baixa a carga principal. Essa carga é carregada diretamente na memória, dificultando sua detecção por ferramentas de segurança tradicionais.

Com o objetivo de capturar credenciais, o Cuttlefish atua como um filtro de pacotes, interceptando o tráfego de rede e buscando padrões específicos associados a nomes de usuário, senhas e tokens de autenticação. Ao identificar essas informações, o malware as exfiltra para um servidor de comando e controle (C&C) controlado pelos atacantes.

Além disso, o Cuttlefish possui a capacidade de sequestrar o tráfego de rede interno, redirecionando as solicitações para servidores controlados pelos atacantes. Essa funcionalidade permite que os invasores obtenham acesso a recursos internos que não são expostos diretamente à internet.

Impacto da Infecção por Cuttlefish

As consequências de uma infecção por Cuttlefish podem ser devastadoras para as organizações:

• Roubo de credenciais: O malware pode capturar credenciais de acesso a serviços em nuvem, permitindo que os atacantes comprometam outras partes da infraestrutura da vítima.
• Movimento lateral: Os atacantes podem utilizar as credenciais roubadas para se mover lateralmente pela rede, expandindo o alcance de seu ataque.
• Espionagem: O malware pode ser utilizado para monitorar o tráfego de rede e coletar informações confidenciais sobre a organização.

Monitorando seu Tráfego

“Uma função secundária dá-lhe a capacidade de realizar sequestro de DNS e HTTP para conexões a espaços IP privados, associados a comunicações em uma rede interna”, explica a equipe do Black Lotus Labs da Lumen Technologies em um relatório.

Essa capacidade, conforme destacado pela Black Lotus Labs, permite que o Cuttlefish sequestre o tráfego interno através do roteador, ou o tráfego site-to-site onde há uma conexão VPN estabelecida entre os roteadores. “A função adicional abre a porta para recursos seguros que não são acessíveis através da Internet pública.”

Após a execução, o Cuttlefish usa um filtro de pacotes para monitorar todas as conexões através do dispositivo e, quando detecta dados específicos, executa ações específicas com base em conjuntos de regras que são atualizados regularmente a partir do servidor de comando e controle (C2) do invasor.

O malware fareja pacotes passivamente em busca de “marcadores de credenciais” no tráfego, como nomes de usuário, senhas e tokens, especialmente associados a serviços públicos baseados em nuvem, como Alicloud, AWS, Digital Ocean, CloudFlare e BitBucket.

A captura de credenciais em trânsito pode permitir que os atores da ameaça copiem dados de recursos de nuvem que não possuem o mesmo tipo de registro ou controles em vigor como os perímetros de rede tradicionais.
Os dados que correspondem a esses parâmetros são registrados localmente e, quando atingem um determinado tamanho, são exfiltrados para o C2 usando uma VPN ponto a ponto ou um túnel proxy criado no dispositivo.

Para o tráfego destinado a endereços IP privados, as solicitações DNS são redirecionadas para um servidor DNS especificado e as solicitações HTTP são manipuladas para redirecionar o tráfego para uma infraestrutura controlada por atores usando códigos de erro HTTP 302.

“Suspeitamos que esta capacidade permite que o Cuttlefish sequestre o tráfego interno através do roteador, ou o tráfego site-to-site onde há uma conexão VPN estabelecida entre os roteadores”, explicam os pesquisadores.

“A função adicional abre a porta para recursos seguros que não são acessíveis através da Internet pública.”

Como se Proteger Contra o Cuttlefish

Para mitigar os riscos associados ao Cuttlefish, as organizações devem implementar as seguintes medidas de segurança:

• Atualização de firmware: Mantenha os roteadores atualizados com as últimas versões de firmware para corrigir vulnerabilidades conhecidas.
• Senhas fortes: Utilize senhas complexas e exclusivas para os roteadores e outros dispositivos de rede.
• Gerenciamento de acesso: Limite o acesso aos painéis de administração dos roteadores a usuários autorizados.
• Segmentação de rede: Divida a rede em segmentos menores para limitar o impacto de uma possível infecção.
• Monitoramento de logs: Monitore regularmente os logs dos dispositivos de rede para detectar atividades suspeitas.
• Soluções de segurança: Implemente soluções de segurança como firewalls, IPS (Intrusion Prevention Systems) e EDR (Endpoint Detection and Response).
• Conscientização dos usuários: Realize treinamentos regulares para conscientizar os usuários sobre as ameaças cibernéticas e como identificar e evitar ataques.

Conclusão

O Cuttlefish representa uma ameaça significativa para a segurança de redes, demonstrando a importância de adotar uma abordagem proativa para a segurança cibernética. Ao implementar as medidas de segurança recomendadas e estar atento às informações fornecidas por especialistas como a Black Lotus Labs, as organizações podem reduzir significativamente o risco de serem comprometidas por esse tipo de malware.