Um novo tipo de malware que tem como alvo softswitches (centrais de redes de voz) de voz sobre IP (VoIP) para fins de espionagem cibernética, segundo pesquisadores da ESET. O malware, denominado CDRThief, foi desenvolvido para atacar uma plataforma VoIP específica usada por dois softswitches feitos na China chamados Linknat VOS2009 e VOS3000, que são soluções baseadas em software que rodam em servidores Linux padrão.
A ESET acredita que o objetivo principal desse malware é exfiltrar dados de um softswitch comprometido. Isso inclui registros de dados de chamadas, que contêm metadados confidenciais de VoIP, como chamador e endereços IP dos destinatários da chamada, hora de início e duração chamada.
A empresa de segurança cibernética diz que chamou a atenção o fato de um malware inteiramente novo para Linux ser raro de se ver.
O CDRThief tenta roubar metadados consultando bancos de dados MySQL usados pelo softswitch, com seu modo de operação demonstrando um “entendimento sólido da arquitetura interna da plataforma alvo”. A ESET descobriu que quaisquer strings de aparência suspeita no malware foram criptografadas pelos autores para ocultar a funcionalidade maliciosa da análise estática básica. Além disso, embora a senha do arquivo de configuração seja criptografada, o malware CDRThief ainda é capaz de lê-la e descriptografá-la.
Veja isso
Windows e Linux são alvos de nova variante do ransomware Tycoon
Descoberta brecha em utilitário do Linux
A ESET também revelou que o malware pode ser implantado em qualquer local do disco em qualquer arquivo e, uma vez que começa a operar, tenta iniciar um arquivo legítimo presente na plataforma Linknat.
O pesquisador da ESET Anton Cherepanov, que descobriu o malware do Linux, disse que “isso sugere que o binário malicioso pode de alguma forma ser inserido em uma cadeia de inicialização regular da plataforma para obter persistência e possivelmente mascarar-se como um componente do software softswitch Linknat”.
“É difícil saber o objetivo final dos invasores que usam esse malware. No entanto, uma vez que exfiltra informações confidenciais, incluindo metadados de chamadas, parece razoável supor que o malware seja usado para espionagem cibernética. Outro possível objetivo dos invasores que usam esse malware é a fraude VoIP. Uma vez que os invasores obtêm informações sobre a atividade de softswitches VoIP e seus gateways, essas informações podem ser usadas para realizar fraudes de compartilhamento de receita internacional”, acrescentou Cherepanov.