El malware fue descubierto en enrutadores WLAN de empresas, pequeñas oficinas y oficinas domésticas. Los delincuentes lo utilizan para monitorear la información que pasa a través de él y robar información de autenticación en el proceso.
Los expertos de Black Lotus Labs (Lumen Technologies) han investigado el malware e informan que Cuttlefish crea un proxy o túnel VPN en el enrutador Wi-Fi comprometido para extraer datos discretamente, evitando las medidas de seguridad que detectan inicios de sesión inusuales. El malware también es capaz de secuestrar DNS y HTTP dentro de rangos de IP privados, interrumpiendo la comunicación interna y posiblemente inyectando datos de usuario adicionales.
“Nuestro análisis sugiere que este malware ha estado activo desde al menos el 27 de julio de 2023. […] Esta última campaña se desarrolló desde octubre de 2023 hasta abril de 2024. El patrón de infección fue único, ya que el 99 por ciento de las infecciones ocurrieron en Turquía y provinieron principalmente de dos proveedores de telecomunicaciones. […] Las pocas víctimas no turcas incluían direcciones IP de clientes probablemente conectadas a proveedores globales de telefonía satelital, así como un potencial centro de datos en los Estados Unidos”, se explicó el objetivo actual de los ataques.
Una vez que Cuttlefish infecta un enrutador WiFi, se desencadenan varios procesos. Sin embargo, actualmente no se sabe cómo se infecta inicialmente un dispositivo. Se sospecha que se están explotando vulnerabilidades conocidas o se está forzando el acceso a los datos.
Si hay acceso a un enrutador inalámbrico, se ejecuta un script bash (“s.sh”) y comienza a recopilar datos basados en el host, incluidos detalles sobre listados de directorios, procesos en ejecución y conexiones activas. Luego, el script descarga y ejecuta la carga útil principal de Cuttlefish, la parte del software que causa el daño real al dispositivo.
Esto se carga en la memoria para evitar la detección mientras el archivo descargado se elimina del sistema de archivos. Como informa además Black Lotus Labs, Cuttlefish está disponible en varias versiones diseñadas para las principales arquitecturas de enrutadores.
Una vez ejecutado, Cuttlefish puede monitorear todas las conexiones a través del enrutador WiFi mediante un filtro. Cuando el malware detecta determinados datos, lleva a cabo una acción basada en reglas que el servidor de los delincuentes actualiza periódicamente.
El malware busca credenciales como nombres de usuario, contraseñas y tokens en el tráfico, especialmente cuando se conecta a servicios de nube pública como Alicloud, AWS, Digital Ocean, CloudFlare y BitBucket. «Esto nos llamó la atención porque muchos de estos servicios se utilizan para almacenar datos que de otro modo residirían en la red», explica el informe de Black Lotus Labs.
«La captura de credenciales en tránsito podría permitir a los actores de amenazas copiar datos de recursos de la nube que no tienen el mismo tipo de registro o controles que los perímetros de red tradicionales».
Aunque actualmente no parece que exista riesgo de sufrir esto en Alemania, existen varias medidas preventivas que se pueden tomar para evitar que los enrutadores WLAN se infecten. Por ejemplo, los expertos recomiendan reiniciar los dispositivos periódicamente e instalar actualizaciones y parches de seguridad.
También es importante “apagar los dispositivos periódicamente para eliminar los patrones de malware almacenados. También recomendamos reemplazar los dispositivos una vez que hayan llegado al final de su vida útil y ya no sean compatibles”, continuó Black Lotus Labs.
Fuentes: Laboratorios Black Lotus
Por Dana Neumann
Desde que tenía 19 años, Anouk no puede comer sin sentir dolor y sin vomitar. Los médicos le diagnosticaron el síndrome de Dunbar. La joven de 25 años explica lo mucho que esto la limita, pero no pierde la esperanza.
Se dice que un grupo de jóvenes atacó a dos hombres en Magdeburgo, Sajonia-Anhalt, uno de los cuales murió. La víctima murió a causa de heridas que pusieron en peligro su vida, dijo la policía el miércoles.
El original de este artículo “Por eso definitivamente deberías reiniciar tu enrutador WiFi con regularidad” proviene de Futurezone.de.
