Novo malware CDRThief que visa softswitches Linux VoIP para registrar metadados de chamadas
CDRThief – uma nova ameaça detectada em estado selvagem visando um sistema específico de voz sobre IP e roubo de registros de dados de chamadas (CDR) por meio de equipamentos de central telefônica. Os analistas de malware dizem que esse malware é especialmente criado para uma plataforma Linux VolP específica – softswitches Linknat VOS2009 / 3000.
Softswitches se referem à solução de software que atua como um servidor VolP e gerencia o tráfego em uma rede de telecomunicações. O malware detectado tenta comprometer os softswitches VOS2009 / 3000 vulneráveis para roubar os metadados de chamada dos bancos de dados MySQL. Esses dados incluem os endereços IP dos chamadores, números de telefone, hora de início e duração da chamada, sua rota e tipo.
Na análise, os pesquisadores da ESET chegaram à conclusão de que esse malware tenta ofuscar a funcionalidade maliciosa usando a cifra XXTEA e, em seguida, executando a codificação Base64 em links de aparência suspeita.
Os bancos de dados MySQL são geralmente protegidos por senha. A ESET acredita que os autores tiveram que reverter esses binários da plataforma de engenharia para obter os detalhes no código LInknat sobre o AES e a chave para descriptografar a senha de acesso ao banco de dados.
O malware CDRThief pode ler e descriptografar essa chave, é uma indicação de que os desenvolvedores dele conhecem muito bem a plataforma. As informações coletadas são enviadas ao servidor de comando e controle usando JSON sobre HTTP após compactá-lo e criptografá-lo com uma chave pública RSA-1024 revestida de capa dura.
“Com base na funcionalidade descrita, podemos dizer que o foco principal do malware é a coleta de dados do banco de dados. Ao contrário de outros backdoors, Linux / CDRThief não tem suporte para execução de comando shell ou exfiltração de arquivos específicos do disco do softswitch comprometido. No entanto, essas funções podem ser introduzidas em uma versão atualizada ”-ESET.
No momento, não se sabe como o malware ganha persistência. Os pesquisadores acreditam que o comando – exec -a ‘/ home / kunshi / callservice / bin / callservice -r / home / kunshi / .run / callservice.pid’ – pode ser inserido na plataforma, camuflado como um componente softswitch Linknat.