CDRThief, un malware que ataca a plataformas de VoIP chinas

15 septiembre, 2020
6 Compartido 1,193 Visualizaciones

Descubierto y analizado un nuevo malware, denominado CDRThief

Diseñado específicamente para afectar a dos plataformas VoIP que utilizan switches por software (softswitch) fabricados en China: Linknat VOS2009 y VOS3000. Un softswitch es un elemento clave de una red VoIP ya que proporciona control sobre las llamadas, la facturación y su gestión. Estas soluciones basadas en software se ejecutan en servidores Linux estándar, lo que hace más interesante si cabe a CDRThief, ya que no es habitual encontrar malware enteramente diseñado para Linux. El objetivo principal de CDRThief es extraer datos privados del softswitch comprometido, entre los que se incluyen los registros de llamadas. 

Es complicado saber cuál es el propósito final de los atacantes que utilizan este malware, pero, como hemos visto que extrae información sensible –incluyendo metadatos de las llamadas-, parece razonable pensar que se utiliza como método de ciberespionaje. Otro posible fin es que se esté utilizando para cometer fraude con líneas VoIP, ya que al conseguir información sobre la actividad de los softswitches y sus gateways, se puede cometer fraude en la facturación”, afirma el investigador de ESET Anton Cherepanov. “CDRThief incluye metadatos sobre las llamadas VoIP realizadas, como la dirección IP de los interlocutores, hora de inicio de la llamada, duración o tarifas, entre otros”. 

Para robar estos metadatos, el malware lanza peticiones internas a las bases de datos MySQL usadas por los softswitches, lo que demuestra unos amplios conocimientos por parte de los delincuentes de las arquitecturas internas de las plataformas atacadas. 

Encontramos este malware en una de los repositorios de muestras que utilizamos y, al tratarse de un malware completamente nuevo para Linux, llamó nuestra atención”, explica Cherepanov. “Aún más interesante fue cuando nos dimos cuenta de que atacaba a una plataforma específica de VoIP para Linux”. 

Para esconder las funcionalidades maliciosas en un análisis estático básico, los delincuentes cifran cualquier cadena sospechosa. La contraseña del archivo de configuración se almacena cifrada, pero el malware Linux/CDRThief es capaz de leerla y descifrarla, lo que demuestra de nuevo el alto conocimiento por parte de los ciberdelincuentes de la plataforma atacada, ya que ni el algoritmo ni las claves de cifrado se encuentran documentadas. De hecho, solo los operadores y los autores del malware pueden descifrar los datos extraídos. 

El malware puede desplegarse en cualquier lugar del disco con cualquier nombre de archivo. No se sabe qué tipo de persistencia se utiliza para iniciarlo; sin embargo, una vez que se ha iniciado, intenta ejecutar un archivo legítimo presente en la plataforma Linknat, lo que sugiere que el código malicioso puede estar insertado de alguna forma en la cadena de arranque habitual de la plataforma para así conseguir persistencia y camuflarse como un componente del software softswitch de Linknat”, concluye Cherepanov. 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Cerca de 800 talleres prácticos para involucrar a la comunidad educativa en el uso seguro de Internet
Actualidad
12 compartido1,477 visualizaciones
Actualidad
12 compartido1,477 visualizaciones

Cerca de 800 talleres prácticos para involucrar a la comunidad educativa en el uso seguro de Internet

Vicente Ramírez - 25 julio, 2018

INCIBE, a través de Internet Segura For Kids, ha estado presente en numerosos centros escolares para llevar a cabo un…

Alerta ante el nuevo curso: consejos para proteger la vuelta al cole de los ciberataques
Actualidad
5 compartido1,367 visualizaciones
Actualidad
5 compartido1,367 visualizaciones

Alerta ante el nuevo curso: consejos para proteger la vuelta al cole de los ciberataques

Aina Pou Rodríguez - 9 septiembre, 2020

En la vuelta al cole de este año, debido a la COVID-19, predominarán las clases virtuales desde sus hogares  A…

Operadores de BEC arrestados en España y un ataque de ransomware que paraliza a una empresa alemana de automatización: recomendaciones de seguridad
Actualidad
7 compartido1,916 visualizaciones
Actualidad
7 compartido1,916 visualizaciones

Operadores de BEC arrestados en España y un ataque de ransomware que paraliza a una empresa alemana de automatización: recomendaciones de seguridad

Alicia Burrueco - 30 octubre, 2019

Trend Micro Incorporated se hace eco de recientes incidentes de ciberseguridad que han tenido lugar en Europa, siendo España uno…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.