Nuevo malware CDRThief dirigido a softswitches de VoIP de Linux para grabar metadatos de llamadas
CDRThief: una nueva amenaza detectada en la naturaleza dirigida a un sistema específico de voz sobre IP y al robo de registros de datos de llamadas (CDR) a través de equipos de central telefónica. Los analistas de malware dicen que este malware está especialmente diseñado para una plataforma Linux VolP en particular: los softswitches Linknat VOS2009 / 3000.
Los softswitches se refieren a la solución de software que actúa como un servidor VolP y gestiona el tráfico en una red de telecomunicaciones. El malware detectado intenta comprometer los softswitches VOS2009 / 3000 vulnerables para robar los metadatos de llamadas de las bases de datos MySQL. Dichos datos incluyen direcciones IP de las personas que llaman, números de teléfono, hora de inicio y duración de la llamada, su ruta y tipo.
Al analizar, los investigadores de ESET llegan a la conclusión de que este malware intenta ofuscar la funcionalidad maliciosa utilizando el cifrado XXTEA y luego ejecutando la codificación Base64 en enlaces de apariencia sospechosa.
Las bases de datos MySQL suelen estar protegidas con contraseña. ESET cree que los autores tuvieron que revertir estos binarios de la plataforma de ingeniería para obtener los detalles en el código LInknat sobre el AES y la clave para descifrar la contraseña de acceso a la base de datos.
El malware CDRThief que puede leer y descifrar esta clave es una indicación de que sus desarrolladores conocen muy bien la plataforma. La información recopilada se envía al servidor de comando y control mediante JSON sobre HTTP después de comprimirla y cifrarla con una clave pública RSA-1024 codificada.
“Según la funcionalidad descrita, podemos decir que el objetivo principal del malware es recopilar datos de la base de datos. A diferencia de otras puertas traseras, Linux / CDRThief no tiene soporte para la ejecución de comandos de shell o la extracción de archivos específicos del disco del softswitch comprometido. Sin embargo, estas funciones podrían introducirse en una versión actualizada ”-ESET.
En la actualidad, no se sabe cómo el malware gana persistencia. Los investigadores creen que el comando – exec -a ‘/ home / kunshi / callservice / bin / callservice -r / home / kunshi / .run / callservice.pid’ – podría insertarse en la plataforma, camuflado como un componente del conmutador de software Linknat.
