Descubierto y analizado un nuevo malware, denominado CDRThief

Diseñado específicamente para afectar a dos plataformas VoIP que utilizan switches por software (softswitch) fabricados en China: Linknat VOS2009 y VOS3000. Un softswitch es un elemento clave de una red VoIP ya que proporciona control sobre las llamadas, la facturación y su gestión. Estas soluciones basadas en software se ejecutan en servidores Linux estándar, lo que hace más interesante si cabe a CDRThief, ya que no es habitual encontrar malware enteramente diseñado para Linux. El objetivo principal de CDRThief es extraer datos privados del softswitch comprometido, entre los que se incluyen los registros de llamadas. 

“Es complicado saber cuál es el propósito final de los atacantes que utilizan este malware, pero, como hemos visto que extrae información sensible –incluyendo metadatos de las llamadas-, parece razonable pensar que se utiliza como método de ciberespionaje. Otro posible fin es que se esté utilizando para cometer fraude con líneas VoIP, ya que al conseguir información sobre la actividad de los softswitches y sus gateways, se puede cometer fraude en la facturación”, afirma el investigador de ESET Anton Cherepanov. “CDRThief incluye metadatos sobre las llamadas VoIP realizadas, como la dirección IP de los interlocutores, hora de inicio de la llamada, duración o tarifas, entre otros”. 

Para robar estos metadatos, el malware lanza peticiones internas a las bases de datos MySQL usadas por los softswitches, lo que demuestra unos amplios conocimientos por parte de los delincuentes de las arquitecturas internas de las plataformas atacadas. 

“Encontramos este malware en una de los repositorios de muestras que utilizamos y, al tratarse de un malware completamente nuevo para Linux, llamó nuestra atención”, explica Cherepanov. “Aún más interesante fue cuando nos dimos cuenta de que atacaba a una plataforma específica de VoIP para Linux”. 

Para esconder las funcionalidades maliciosas en un análisis estático básico, los delincuentes cifran cualquier cadena sospechosa. La contraseña del archivo de configuración se almacena cifrada, pero el malware Linux/CDRThief es capaz de leerla y descifrarla, lo que demuestra de nuevo el alto conocimiento por parte de los ciberdelincuentes de la plataforma atacada, ya que ni el algoritmo ni las claves de cifrado se encuentran documentadas. De hecho, solo los operadores y los autores del malware pueden descifrar los datos extraídos. 

“El malware puede desplegarse en cualquier lugar del disco con cualquier nombre de archivo. No se sabe qué tipo de persistencia se utiliza para iniciarlo; sin embargo, una vez que se ha iniciado, intenta ejecutar un archivo legítimo presente en la plataforma Linknat, lo que sugiere que el código malicioso puede estar insertado de alguna forma en la cadena de arranque habitual de la plataforma para así conseguir persistencia y camuflarse como un componente del software softswitch de Linknat”, concluye Cherepanov.