Router sotto assedio: attacco malware per rubare password agli utenti

Si chiama Cuttlefish ed è un nuovo e inquietante malware, scoperto dagli esperti di sicurezza informatica di Black Lotus Labs.

A quanto pare, questo agente malevolo prende di mira router sia nel contesto aziendale che domestico, con il chiaro obiettivo di intercettare password e altre credenziali sensibili delle vittime. Secondo quanto affermato dagli esperti che hanno individuato Cuttlefish per la prima volta, questo agisce attraverso una vulnerabilità zero-day o, in altri casi, con attacchi di forza bruta.

Il malware, una volta installato sul router, crea un proxy attraverso il quale capta i dati sensibili ricevuti e inviati attraverso il router, intercettandoli e rubandoli. A rendere Cuttlefish particolarmente temuto sono anche le sue tattiche avanzate di offuscamento.

Nonostante le ricerche di Black Lotus Labs, al momento si conosce ancora poco di questa campagna. Informazioni come identità degli aggressori, modelli di router a rischio e numero di potenziali vittime sono attualmente sconosciute.

Cuttlefish crea un proxy sul router e ruba le password alle ignare vittime

A dispetto di quanto appena detto, Cuttlefish presenta interessanti somiglianze con l’operato del gruppo HiatusRAT, un gruppo di hacker collegato al governo cinese, nonostante non esistano conferme in tal senso.

Il team di Black Lotus Labs, infine, ha voluto fornire una serie di istruzioni per aiutare le potenziali vittime a scongiurare il peggio. Sotto questo punto di vista, le credenziali di accesso al backend dei router devono esse costituite da password complesse e, possibilmente, cambiate periodicamente.

Aggiornare il firmware del dispositivo, poi, è praticamente un must. Se ciò non è possibile in quanto il router è datato, il consiglio è di sostituire l’hardware con un modello più recente. Anche un riavvio ogni tanto, a detta degli esperti, può essere utile per garantire un ambiente sicuro.

Per i più esperti poi, tenere d’occhio gli accessi da indirizzi IP sospetti e proteggere il traffico con TLS/SSL può essere un ulteriore passo per scongiurare infezioni di questo tipo.