Cuttlefish, ce nouveau malware qui s'en prend aux petites entreprises et réseaux privés

Cuttlefish, ce malware actif depuis juillet 2023, a refait surface en infectant 600 adresses IP uniques entre octobre 2023 et avril 2024.

« Huit bras pour vous retenir », c'est de cette manière que LUMEN, la société Lumen Technologie, analyse la campagne de malware baptisée « Cuttlefish », (seiche en anglais ). Voilà qui en dit long sur ses capacités.

C'est qu'il faut déployer un sacré arsenal d'outils malveillants pour pénétrer sans être vu, via l'attaque zero click les routeurs des petites entreprises ou les réseaux professionnels à domicile, d'une part, et de se propager en profitant de leurs failles de vulnérabilité pour des attaques de détournement.

Le zero click : l'attaque redoutable de Cuttlefish

Si l'on entend souvent parler d'attaques zero day (comme celle que la mise à jour de l'iOS d'Apple en mars 2024 a réussi à déjouer, au cours desquelles les hackers ont profité d'une faille dès que celle-ci a été découverte, et surtout, avant qu'elle ne soit corrigée), l'attaque zero click est moins courante et c'est peut-être ce qui la rend pour le moment d'autant plus dangereuse qu'elle est déjà redoutable.

Le terme zero click fait référence à une catégorie de cyberattaques qui ne nécessitent aucune interaction de la part de la victime pour être exécutées. En l'occurrence, Cuttlefish peut s'infiltrer et opérer dans un système sans que l'utilisateur ait à cliquer sur un lien malveillant ou ouvrir un fichier infecté. Cette capacité rend Cuttlefish particulièrement dangereux, car il peut contourner les mécanismes de défense traditionnels qui reposent sur l'action de l'utilisateur pour déclencher l'infection.

Les attaques zero click comme celle-ci sont difficiles à détecter et à prévenir, car elles peuvent se produire sans signes avant-coureurs, laissant peu de traces jusqu'à ce que le dommage soit déjà fait.

Cuttlefish, un malware modulaire capable de détournements DNS et HTTP

« Ce malware est modulaire, conçu principalement pour voler le matériel d'authentification trouvé dans les requêtes Web qui transitent par le routeur depuis le réseau local (LAN) adjacent », explique le rapport de l'équipe Black Lotus Labs de Lumen Technologies.

Le malware Cuttlefish est décrit comme modulaire, car il est composé de divers composants indépendants qui peuvent être ajoutés, retirés ou mis à jour sans perturber le fonctionnement global du programme. Cette architecture modulaire permet aux hackers de personnaliser l'attaque en fonction de leurs objectifs spécifiques et de l'environnement réseau de la victime. Cuttlefish est également capable de détournement DNS et HTTP, ses concepteurs l'ayant équipé de modules spécifiques pour intercepter et manipuler le trafic réseau. En détournant les requêtes DNS, le malware peut rediriger le trafic vers des serveurs contrôlés par les attaquants, tandis que le détournement HTTP peut altérer les communications Web pour injecter du contenu malveillant ou voler des informations sensibles.

Dans le rapport de Lumen, il est également indiqué que Cuttlefish utilise ces techniques de détournement principalement pour les connexions aux adresses IP privées, ce qui est associé aux communications sur un réseau interne. Cela suggère que les attaquants cherchent à rester discrets et à maintenir une présence persistante au sein du réseau ciblé. En ciblant les adresses IP privées, Cuttlefish peut potentiellement accéder à des données et des systèmes qui ne sont normalement pas accessibles depuis l'extérieur du réseau de l'entreprise, augmentant ainsi la portée de l'attaque sans éveiller les soupçons. Un comportement d'embuscade, de camouflage et de discrétion avant de déployer ses armes qui ressemblent furieusement à celui d'une seiche qui chasse au fond des mers.

Source : The Hacker News, Lumen