CDRThief. Malware Que Ataca A Plataformas VoIP Chinas

La empresa de ciberseguridad Eset, ha publicado un informe en el cual analizan un malware que afecta a plataformas VoIP que utilizan switches por software softswitch.

Un softwitch es un elemento clave en una red VoIP que actúa como conmutador de software y proporciona control sobre las llamadas VoIP. El malware está orientado para afectar a los softswitches de Linknat VOS2009 y VOS3000.

El nombre del malware viene dado porque roba datos de los CDR de los softswitches, que son los registros donde se almacenan todos los datos de las llamadas realizadas: hora de las llamadas, duraciones, IPs, etc. Estos robos se realizan a través de consultas a la base de datos interna de estos softwitch. Para realizar esto, el malware obtiene los datos de configuración de los archivos más comunes, que suelen estar en una de estas rutas:

  • /usr/kunshi/vos2009/server/etc/server_db_config.xml
  • /usr/kunshi/vos3000/server/etc/server_db_config.xml
  • /home/kunshi/vos2009/server/etc/server_db_config.xm
  • /home/kunshi/vos3000/server/etc/server_db_config.xm
  • /home/kunshi/vos2009/etc/server_db_config.xml
  • /home/kunshi/vos3000/etc/server_db_config.xml
  • /usr/kunshi/vos2009/server/etc/serverdbconfig.xml
  • /usr/kunshi/vos3000/server/etc/serverdbconfig.xml

Se cree que los desarrolladores de este malware tienen un nivel técnico muy alto, puesto que la clave de acceso a la base de datos está cifrada y para poder descifrarla han tenido que aplicar conocimientos avanzados de ingeniería inversa.