CDRThief

Description de CDRThief

CDRThief est un logiciel malveillant particulier découvert récemment par les chercheurs. CDRThief cible les serveurs Linux et tente de collecter des données à partir de deux commutateurs logiciels Voice-over-IP (VoIP) spécifiques. Les commutateurs logiciels sont utilisés pour connecter les appels téléphoniques d'une ligne téléphonique à une autre, soit via un réseau de télécommunication, soit via Internet par des moyens logiciels entièrement au lieu de la manière plus traditionnelle, en s'appuyant sur du matériel électronique spécialement conçu.

Bien que le vecteur d'attaque spécifique utilisé pour faufiler SDRThief sur les systèmes ciblés reste inconnu, le comportement post-compromis de la menace a été analysé. CDRThief est conçu pour extraire les données de seulement deux programmes Softswitch - VOS2009 et VOS3000 , développés par la société chinoise Linknat. Après avoir été déployé sur un système exécutant l'un des programmes Softswitch, le malware commence à rechercher les fichiers de configuration de Linknat pour collecter les informations d'identification de la base de données MySQL. Bien que le mot de passe de la base de données soit stocké sous une forme chiffrée, CDRThief a la capacité de le lire et de le déchiffrer. Cela prouve que les pirates informatiques à l'origine de la menace ont une connaissance approfondie du secteur des logiciels VoIP et du fonctionnement interne de Linknat, en particulier, car ils devaient soit procéder à l'ingénierie inverse des binaires des programmes, soit obtenir des informations spécifiques sur l'algorithme et la clé de cryptage AES. par d'autres méthodes.

Après avoir obtenu les informations d'identification avec succès, CDRThief se connecte à la base de données MySQL et exécute des requêtes SQL pour collecter les détails de l'enregistrement d'appel (métadonnées VoIP). Toutes les informations collectées sont ensuite transmises à un serveur distant sous le contrôle des criminels.

Le but exact de CDRThief reste inconnu, mais à en juger par sa fonctionnalité, les chercheurs pensent qu'il peut être utilisé pour des activités de cyberespionnage ou dans le cadre du programme International Revenue Share Fraud (IRSF), qui exploite l'existence de numéros de téléphone premium pour générer des gains monétaires.

Laisser une Réponse

Veuillez ne pas utiliser ce système de commentaires pour des questions de soutien ou de facturation. Pour les demandes d'assistance technique de SpyHunter, veuillez contacter directement notre équipe d'assistance technique en ouvrant un ticket d'assistance via votre SpyHunter. Pour des problèmes de facturation, veuillez consulter notre page «Questions de facturation ou problèmes?". Pour des renseignements généraux (plaintes, juridique, presse, marketing, droit d’auteur), visitez notre page «Questions et commentaires».