Os pesquisadores de segurança cibernética descobriram um tipo inteiramente novo de malware Linux apelidado de “CDRThief”, que visa softswitches de voz sobre IP (VoIP) em uma tentativa de roubar metadados de chamadas telefônicas.
“O objetivo principal do malware é exfiltrar vários dados privados de um softswitch comprometido, incluindo registros de detalhes de chamadas (CDR)”, conforme os pesquisadores da ESET em uma análise.
“Para roubar esses metadados, o malware consulta os bancos de dados MySQL internos usados pelo softswitch. Assim, os invasores demonstram um bom entendimento da arquitetura interna da plataforma alvo.”
Os softswitches (abreviação de switches de software) são geralmente servidores VoIP que permitem que as redes de telecomunicações forneçam gerenciamento de tráfego de voz, fax, dados e vídeo e roteamento de chamadas.
A pesquisa da ESET revelou que o CDRThief tinha como alvo uma plataforma Linux VoIP específica, ou seja, os softswitches VOS2009 e 3000 da empresa chinesa Linknat, e teve sua funcionalidade maliciosa criptografada para evitar a análise estática.
O malware começa tentando localizar os arquivos de configuração do Softswitch em uma lista de diretórios predeterminados com o objetivo de acessar as credenciais do banco de dados MySQL, que são então descriptografadas para consultar o banco de dados.
Os pesquisadores da ESET dizem que os invasores teriam que fazer engenharia reversa nos binários da plataforma para analisar o processo de criptografia e recuperar a chave AES usada para descriptografar a senha do banco de dados, sugerindo o “conhecimento profundo” dos autores da arquitetura VoIP.
Além de coletar informações básicas sobre o sistema Linknat comprometido, o CDRThief extrai detalhes do banco de dados (nome de usuário, senha criptografada, endereço IP) e executa consultas SQL diretamente no banco de dados MySQL para capturar informações relativas a eventos do sistema, gateways VoIP e metadados de chamadas.
“Os dados a serem exfiltrados das tabelas e_syslog, e_gatewaymapping e e_cdr são compactados e criptografados com uma chave pública RSA-1024 codificada antes da exfiltração. Assim, apenas os autores ou operadores de malware podem descriptografar os dados exfiltrados”, disse a ESET.
Em sua forma atual, o malware parece estar focado apenas na coleta de dados do banco de dados, mas a ESET avisa que pode mudar facilmente se os invasores decidirem introduzir recursos de roubo de documentos mais avançados em uma versão atualizada.
Dito isso, o objetivo final dos autores do malware ou informações sobre o agente da ameaça por trás da operação ainda permanece obscuro. “No momento em que este artigo foi escrito, não sabemos como o malware é implantado em dispositivos comprometidos”, disse Anton Cherepanov da ESET.
“Especulamos que os invasores podem obter acesso ao dispositivo usando um ataque de força bruta ou explorando uma vulnerabilidade.”
“Parece razoável supor que o malware seja usado para espionagem cibernética. Outro possível objetivo dos invasores que usam esse malware é a fraude de VoIP. Como os invasores obtêm informações sobre a atividade de softswitches de VoIP e seus gateways, essas informações podem ser usadas para realizar o compartilhamento de receita internacional de Fraude (IRSF).”
Este artigo é uma tradução de: https://thehackernews.com/2020/07/brazilian-banking-trojan.html
