Novo malware CDRThief visa roubar seus registros e detalhes de chamadas VoIP

Os malfeitores têm cada vez mais como alvo os sistemas baseados em Linux que são usados ​​para hospedar uma ampla gama de aplicativos de negócios. Recentemente, outro novo malware foi identificado como alvo dos metadados críticos de chamadas de voz sobre IP ( VoIP) armazenados em servidores baseados em Linux.

O que foi descoberto?

Apelidado CDRThief , os raros Linux alvos de malware VoIP softswitches, a solução de software que garante a conexão entre as linhas internas e externas.

  • Primeiramente, o malware tenta roubar metadados do softswitch comprometido, incluindo dados confidenciais, como Call Detail Records (CDRs).
  • O CDRThief visa dois programas de softswitch específicos, nomeadamente VOS2009 e VOS3000, que são desenvolvidos pela empresa chinesa Linknat.

Informações adicionais

Uma análise mais aprofundada do malware revelou que os desenvolvedores têm um conhecimento profundo do funcionamento interno dos produtos direcionados.

  • Para roubar dados, o malware consulta os bancos de dados MySQL usados ​​pelo softswitch, o que requer conhecimento dos esquemas internos do banco de dados.
  • O malware é capaz de ler os arquivos de configuração que armazenam as senhas criptografadas para o banco de dados MySQL integrado, indicando o conjunto de habilidades adequado desses agentes de ameaças.

Ataques recentes em sistemas baseados em Linux

Nos últimos meses, vários agentes de ameaças e malware tentaram atingir aplicativos ou sistemas baseados em Linux.

  • Em agosto de 2020, o malware de criptomineração Lemon_Duck e o criptominer Lucifer foram atualizados para dispositivos Linux de destino.
  • Em meados de agosto, cinco grupos APT chineses diferentes foram encontrados usando a mesma combinação de rootkit e backdoors Linux, todos vinculados ao grupo Winnti.
  • Na mesma época, o grupo de hackers estatal russo Fancy Bear foi encontrado usando Drovorub , um malware de alta capacidade projetado para infectar sistemas Linux, para suas operações de ciberespionagem.

Em conclusão

Uma boa parte da infraestrutura corporativa, por exemplo, os servidores da web operados por gigantes da tecnologia como Google, Facebook e Amazon, são hospedados no Linux. Portanto, é muito seguro dizer que os invasores continuarão a colocar seus esforços no desenvolvimento de novas ferramentas e técnicas para adulterar a infraestrutura baseada em Linux para um maior retorno do investimento. Este é certamente um motivo de preocupação para empresas que dependem de sistemas Linux para sua promessa de segurança forte como o Unix.

Fonte: https://cyware.com/news/new-cdrthief-malware-aims-to-steal-your-voip-call-detail-records-67a9ecb9