Recentemente, o mundo da cibersegurança se deparou com o surgimento de uma ameaça digital particularmente sofisticada conhecida como 'Cuttlefish'. Desenvolvido com uma estrutura modular, o malware é projetado para roubar dados de autenticação de solicitações web que passam pelo roteador conectado à rede local (LAN). Além disso, Cuttlefish tem a capacidade de realizar sequestros de DNS e HTTP dentro de espaços de IP privados e interagir com outros dispositivos na LAN para transferir dados ou implantar novos agentes.
Detalhes Técnicos e Modus Operandi do Cuttlefish
O 'Cuttlefish' é ativado sem a necessidade de cliques (zero-click), capturando dados de usuários e dispositivos atrás da borda da rede visada. A natureza insidiosa deste malware se revela em sua habilidade de realizar sequestros de HTTP e DNS para conexões a endereços IP privados, agindo apenas quando ativado por um conjunto de regras pré-definido. Isso permite que ele permaneça oculto, monitorando passivamente os pacotes de rede e agindo discretamente.
Histórico e Impacto das Infecções
Embora o vetor inicial de acesso ainda não tenha sido determinado, acredita-se que os atores de ameaças possam ter explorado vulnerabilidades conhecidas ou realizado ataques de força bruta para obter credenciais. Uma vez acessados, os roteadores são comprometidos com a implementação de um script bash que coleta dados baseados no host e executa o Cuttlefish. Este malware monitora passivamente os pacotes de rede em busca de "marcadores de credenciais", como nomes de usuários, senhas e tokens de autenticação.
Infraestrutura e Exfiltração de Dados
O Cuttlefish é particularmente voltado para serviços baseados em nuvens públicas, como Alicloud, AWS, Digital Ocean, CloudFlare e BitBucket, utilizados para armazenar dados sensíveis. Essa abordagem permite que os atores de ameaças potencialmente copiem dados de recursos na nuvem que carecem de registros ou controles comumente presentes em perímetros de rede tradicionais. Os dados roubados são armazenados em um log, que, ao atingir um tamanho especificado, é comprimido usando gzip e enviado ao servidor C2 usando um uuid computado e um valor predefinido de "tid".
Capacidades Avançadas e Únicas
Cuttlefish também redireciona solicitações de DNS para endereços IP privados para um servidor DNS especificado e manipula solicitações HTTP para redirecionar o tráfego para uma infraestrutura sob controle de seus operadores usando códigos de erro HTTP 302. Essa capacidade indica que o Cuttlefish pode sequestrar tráfego interno ou entre sites, permitindo acesso a recursos seguros não expostos na Internet.
VEJA TAMBÉM: Zero Trust e SASE: O Futuro da Segurança Cibernética
Conclusão
Cuttlefish representa a evolução em malware de espionagem passiva para equipamentos de rede de borda, adaptando-se às configurações de TLS implementadas por organizações modernas. As inovações observadas são emblemáticas da próxima geração de capacidades de malware; habilidades que incluem espionar e realizar sequestros de DNS e HTTP são raras e destacam a sofisticação crescente nesse campo. A International IT ressalta a importância da vigilância contínua e da implementação de medidas de segurança robustas para proteger as infraestruturas de TI e OT contra tais ameaças avançadas. Baixe agora nosso e-book "Proteção cibernética em uma era de avanço tecnológico: Entenda a importância do Firewall na Rede" para uma visão aprofundada sobre segurança cibernética. Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
