CDRThief, un malware que ataca a plataformas de VoIP chinas

15 septiembre, 2020
6 Compartido 1,140 Visualizaciones

Descubierto y analizado un nuevo malware, denominado CDRThief

Diseñado específicamente para afectar a dos plataformas VoIP que utilizan switches por software (softswitch) fabricados en China: Linknat VOS2009 y VOS3000. Un softswitch es un elemento clave de una red VoIP ya que proporciona control sobre las llamadas, la facturación y su gestión. Estas soluciones basadas en software se ejecutan en servidores Linux estándar, lo que hace más interesante si cabe a CDRThief, ya que no es habitual encontrar malware enteramente diseñado para Linux. El objetivo principal de CDRThief es extraer datos privados del softswitch comprometido, entre los que se incluyen los registros de llamadas. 

Es complicado saber cuál es el propósito final de los atacantes que utilizan este malware, pero, como hemos visto que extrae información sensible –incluyendo metadatos de las llamadas-, parece razonable pensar que se utiliza como método de ciberespionaje. Otro posible fin es que se esté utilizando para cometer fraude con líneas VoIP, ya que al conseguir información sobre la actividad de los softswitches y sus gateways, se puede cometer fraude en la facturación”, afirma el investigador de ESET Anton Cherepanov. “CDRThief incluye metadatos sobre las llamadas VoIP realizadas, como la dirección IP de los interlocutores, hora de inicio de la llamada, duración o tarifas, entre otros”. 

Para robar estos metadatos, el malware lanza peticiones internas a las bases de datos MySQL usadas por los softswitches, lo que demuestra unos amplios conocimientos por parte de los delincuentes de las arquitecturas internas de las plataformas atacadas. 

Encontramos este malware en una de los repositorios de muestras que utilizamos y, al tratarse de un malware completamente nuevo para Linux, llamó nuestra atención”, explica Cherepanov. “Aún más interesante fue cuando nos dimos cuenta de que atacaba a una plataforma específica de VoIP para Linux”. 

Para esconder las funcionalidades maliciosas en un análisis estático básico, los delincuentes cifran cualquier cadena sospechosa. La contraseña del archivo de configuración se almacena cifrada, pero el malware Linux/CDRThief es capaz de leerla y descifrarla, lo que demuestra de nuevo el alto conocimiento por parte de los ciberdelincuentes de la plataforma atacada, ya que ni el algoritmo ni las claves de cifrado se encuentran documentadas. De hecho, solo los operadores y los autores del malware pueden descifrar los datos extraídos. 

El malware puede desplegarse en cualquier lugar del disco con cualquier nombre de archivo. No se sabe qué tipo de persistencia se utiliza para iniciarlo; sin embargo, una vez que se ha iniciado, intenta ejecutar un archivo legítimo presente en la plataforma Linknat, lo que sugiere que el código malicioso puede estar insertado de alguna forma en la cadena de arranque habitual de la plataforma para así conseguir persistencia y camuflarse como un componente del software softswitch de Linknat”, concluye Cherepanov. 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Petición: ¡Incluir la ciberseguridad en la RAE!
Actualidad
38 compartido3,955 visualizaciones
Actualidad
38 compartido3,955 visualizaciones

Petición: ¡Incluir la ciberseguridad en la RAE!

Redacción - 11 septiembre, 2019

Desde CyberSecurity News, creemos fundamental que nuestro diccionario, recoja una de las palabras más usadas y extendidas  en la actualidad…

Castellón bate el récord en ciberdelincuencia
Cases Studies
18 compartido2,711 visualizaciones
Cases Studies
18 compartido2,711 visualizaciones

Castellón bate el récord en ciberdelincuencia

Mónica Gallego - 21 noviembre, 2018

En España se han registrado el último año más de 80 mil infracciones penales en delincuencia digital. En Castellón las…

Así fue el evento ‘Ciberseguridad en el Sector Salud’, organizado por InnoTec junto al CCN-CERT
Actualidad
8 compartido1,849 visualizaciones
Actualidad
8 compartido1,849 visualizaciones

Así fue el evento ‘Ciberseguridad en el Sector Salud’, organizado por InnoTec junto al CCN-CERT

Vicente Ramírez - 4 julio, 2018

El encuentro, organizado el pasado 19 de junio por InnoTec (Grupo Entelgy) junto al CCN-CERT, reunió a los actores más…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.