ESET ha advertido sobre él tras descubrirlo y analizarlo

CDRThief, el nuevo malware que ataca a plataformas de VoIP chinas

26

Hay un nuevo malware, denominado CDRThief, que está específicamente diseñado para afectar a dos plataformas VoIP que utilizan switches por software (softswitch) fabricados en China: Linknat VOS2009 y VOS3000. La compañía de ciberseguridad ESET ha advertido de la existencia de esta nueva amenaza.

Según explican fuentes de ESET, un softswitch es un elemento clave de una red VoIP, ya que proporciona control sobre las llamadas, la facturación y su gestión. Basadas en software, estas soluciones se ejecutan en servidores Linux estándar y, en este sentido, la compañía resalta que CDRThief es aún más interesante porque no es habitual encontrar malwares que estén completamente diseñados para Linux.

Además, señalan que el objetivo principal de CDRThief es extraer datos privados del softswitch comprometido, incluidos los registros de llamadas.

“Es complicado saber cuál es el propósito final de los atacantes que utilizan este malware, pero, como hemos visto que extrae información sensible –incluyendo metadatos de las llamadas-, parece razonable pensar que se utiliza como método de ciberespionaje. Otro posible fin es que se esté utilizando para cometer fraude con líneas VoIP, ya que al conseguir información sobre la actividad de los softswitches y sus gateways, se puede cometer fraude en la facturación”, afirma el investigador de ESET Anton Cherepanov. “CDRThief incluye metadatos sobre las llamadas VoIP realizadas, como la dirección IP de los interlocutores, hora de inicio de la llamada, duración o tarifas, entre otros”.

Cómo consigue extraer la información

ESET también aclara que, para robar estos metadatos, el malware lanza peticiones internas a las bases de datos MySQL utilizadas por los softswitches, lo que evidencia unos amplios conocimientos por parte de los delincuentes de las arquitecturas internas de las plataformas atacadas.

“Encontramos este malware en una de los repositorios de muestras que utilizamos y, al tratarse de un malware completamente nuevo para Linux, llamó nuestra atención”, declara Cherepanov. “Aún más interesante fue cuando nos dimos cuenta de que atacaba a una plataforma específica de VoIP para Linux”.

Además, ESET explica que, para esconder las funcionalidades maliciosas en un análisis estático básico, los delincuentes cifran cualquier cadena sospechosa. La contraseña del archivo de configuración se almacena cifrada, pero el malware Linux/CDRThief es capaz de leerla y descifrarla, lo que refleja nuevamente el alto conocimiento por parte de los ciberdelincuentes de la plataforma atacada, ya que ni el algoritmo ni las claves de cifrado se encuentran documentadas. De hecho, los operadores y los autores del malware son los únicos que pueden descifrar los datos extraídos.

“El malware puede desplegarse en cualquier lugar del disco con cualquier nombre de archivo. No se sabe qué tipo de persistencia se utiliza para iniciarlo; sin embargo, una vez que se ha iniciado, intenta ejecutar un archivo legítimo presente en la plataforma Linknat, lo que sugiere que el código malicioso puede estar insertado de alguna forma en la cadena de arranque habitual de la plataforma para así conseguir persistencia y camuflarse como un componente del software softswitch de Linknat”, concluye Cherepanov.

Si desea más información sobre CDRThief, puede consultar el blog de ESET.

Artículo
CDRThief, el nuevo malware que ataca a plataformas de VoIP chinas
Nombre
CDRThief, el nuevo malware que ataca a plataformas de VoIP chinas
Descripcion
Hay un nuevo malware, denominado CDRThief, que está específicamente diseñado para afectar a dos plataformas VoIP que utilizan switches por software (softswitch) fabricados en China: Linknat VOS2009 y VOS3000. La compañía de ciberseguridad ESET ha advertido de la existencia de esta nueva amenaza.
Autor
Publico
Escudo Digital
Logo