Um novo malware, potencialmente ameaçador para sistemas de VoIP que utilizam softswitches em Linux, foi descoberto por pesquisadores da ESET. Chamado ‘CDRThief’, o vírus tem o potencial de roubar metadados de ligações telefônicas realizadas pelo sistema.

“O objetivo principal do malware é exfiltrar vários dados privados de um softswitch comprometido.”, afirmou o pesquisador em TI Anton Cherepanov, em artigo publicado no website da ESET.

O softswitch (aglutinação do termo software switch) é uma espécie de servidor de telecomunicações, que conecta chamadas efetuadas tanto pelo sistema convencional, quanto por meio da internet. No entanto, ele realiza este trabalho digitalmente, utilizando do sistema de telefonia IP (VoIP), para realizar as ligações.

Como ocorre o ataque

Quando este servidor, programado em Linux, é vulnerável, o malware CDRThief consegue acesso ao banco de dados com registros de ligações e outros dados recolhidos pelo softswitch. Ele procura, em diretórios pré-determinados, por arquivos que deem acesso aos dados registrados pelo servidor. Se o acesso é permitido, é possível consultar toda a base catalogada.

Reprodução

Ataques a telefones por IP podem levar a vazamentos de dados das ligações. Imagem: Pixabay

Dependendo dos registros realizados pelo softswitch, o ataque pode resultar no vazamento do registro de detalhes da chamada: dados como a duração, status de conclusão da ligação, além dos números envolvidos, podem estar vulneráveis.

“Para roubar esses metadados, o malware consulta os bancos de dados MySQL internos usados pelo softswitch. Assim, os invasores demonstram um bom entendimento da arquitetura interna da plataforma alvo.”, afirmou Cherepanov no artigo.

Pode se tornar mais perigoso

No atual estágio identificado pelos pesquisadores da ESET, o malware somente busca pelos registros de chamada. No entanto, é possível que seus desenvolvedores consigam adicionar funcionalidades que extraiam mais informações, ainda mais complexas, dos bancos de dados de softswitches em Linux.

Por fim, Cherepanov indica que o CDRThief deve ser usado para fins diversos, entre espionagem e fraude. “Parece razoável supor que este malware seja usado para espionagem cibernética. Outro possível objetivo dos invasores pode ser a fraude de VoIP.”

Fonte: The Hacker News