switch-3297900_1280.jpg

Descoberta forma rara de malware que tem como alvo softswitches de VoIP

CDRThief foi desenvolvido para atacar uma plataforma VoIP específica usada por dois softswitches feitos na China
Da Redação
10/09/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um novo tipo de malware que tem como alvo softswitches (centrais de redes de voz) de voz sobre IP (VoIP) para fins de espionagem cibernética, segundo pesquisadores da ESET. O malware, denominado CDRThief, foi desenvolvido para atacar uma plataforma VoIP específica usada por dois softswitches feitos na China chamados Linknat VOS2009 e VOS3000, que são soluções baseadas em software que rodam em servidores Linux padrão.

A ESET acredita que o objetivo principal desse malware é exfiltrar dados de um softswitch comprometido. Isso inclui registros de dados de chamadas, que contêm metadados confidenciais de VoIP, como chamador e endereços IP dos destinatários da chamada, hora de início e duração chamada.

A empresa de segurança cibernética diz que chamou a atenção o fato de um malware inteiramente novo para Linux ser raro de se ver.

O CDRThief tenta roubar metadados consultando bancos de dados MySQL usados ​​pelo softswitch, com seu modo de operação demonstrando um “entendimento sólido da arquitetura interna da plataforma alvo”. A ESET descobriu que quaisquer strings de aparência suspeita no malware foram criptografadas pelos autores para ocultar a funcionalidade maliciosa da análise estática básica. Além disso, embora a senha do arquivo de configuração seja criptografada, o malware CDRThief ainda é capaz de lê-la e descriptografá-la.

Veja isso
Windows e Linux são alvos de nova variante do ransomware Tycoon
Descoberta brecha em utilitário do Linux

A ESET também revelou que o malware pode ser implantado em qualquer local do disco em qualquer arquivo e, uma vez que começa a operar, tenta iniciar um arquivo legítimo presente na plataforma Linknat.

O pesquisador da ESET Anton Cherepanov, que descobriu o malware do Linux, disse que “isso sugere que o binário malicioso pode de alguma forma ser inserido em uma cadeia de inicialização regular da plataforma para obter persistência e possivelmente mascarar-se como um componente do software softswitch Linknat”.

“É difícil saber o objetivo final dos invasores que usam esse malware. No entanto, uma vez que exfiltra informações confidenciais, incluindo metadados de chamadas, parece razoável supor que o malware seja usado para espionagem cibernética. Outro possível objetivo dos invasores que usam esse malware é a fraude VoIP. Uma vez que os invasores obtêm informações sobre a atividade de softswitches VoIP e seus gateways, essas informações podem ser usadas para realizar fraudes de compartilhamento de receita internacional”, acrescentou Cherepanov.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório