Llegamos a ustedes gracias a:



Alertas de Seguridad

ESET Research descubre CDRThief

Un malware que ataca la plataforma china de VoIP

[11/09/2020] Los investigadores de ESET han descubierto y analizado malware que apunta a los softswitches de Voz sobre IP (VoIP). Este nuevo malware, llamado CDRThief por ESET, está diseñado para atacar una plataforma VoIP muy específica utilizada por dos softswitches (conmutadores de software) fabricados en China: Linknat VOS2009 y VOS3000. Un softswitch es un elemento central de una red de VoIP que proporciona control, facturación y gestión de llamadas. Estos softswitches son soluciones basadas en software que se ejecutan en servidores Linux estándar. De acuerdo a los investigadores, rara vez se ve malware completamente nuevo para Linux, por lo que CDRThief es digno de interés. El objetivo principal del malware es extraer varios datos privados, incluidos los registros de detalles de llamadas (CDR), de un softswitch comprometido.

"Es difícil saber cuál es el objetivo final de los atacantes que utilizan este malware. Sin embargo, dado que exfiltra información sensible, incluidos los metadatos de las llamadas, parece razonable suponer que el malware se utiliza para el ciberespionaje. Otro posible objetivo de los atacantes que utilizan este malware es el fraude de VoIP. Dado que los atacantes obtienen información sobre la actividad de los softswitches de VoIP y sus puertas de enlace, esta información podría utilizarse para realizar el fraude de participación en los ingresos internacionales", comentó el investigador de ESET Anton Cherepanov, que descubrió CDRThief. "Los CDR contienen metadatos sobre las llamadas de VoIP, tales como el llamante y las direcciones IP de los destinatarios de la llamada, la hora de inicio de la llamada, la duración de la misma, las tarifas de la llamada y otra información", añadió.

Para robar estos metadatos, anotó Cherepanov, el malware consulta las bases de datos MySQL internas utilizadas por el softswitch. De esta manera, los atacantes demuestran una sólida comprensión de la arquitectura interna de la plataforma objetivo.

"Nos dimos cuenta de este malware en una de nuestras muestras de compartición de feeds, y como un malware de Linux completamente nuevo, es una rareza y nos llamó la atención. Lo que fue aún más interesante fue que rápidamente se hizo evidente que este malware apuntaba a una plataforma específica de VoIP para Linux", explicó Cherepanov.

Agregó que, para ocultar la funcionalidad maliciosa del análisis estático básico, los autores cifraron cualquier cadena de aspecto sospechoso. "Curiosamente, la contraseña del archivo de configuración se almacena encriptada. A pesar de esto, el malware de Linux/CDRThief todavía es capaz de leerla y desencriptarla. Así, los atacantes demuestran un profundo conocimiento de la plataforma objetivo, ya que el algoritmo y las claves de cifrado utilizadas no están documentadas. Además, solo los autores u operadores del malware pueden descifrar los datos exfiltrados.

El malware puede desplegarse en cualquier lugar del disco con cualquier nombre de archivo. Se desconoce qué tipo de persistencia se utiliza para iniciar el malware. "Sin embargo, hay que señalar que una vez que el malware se inicia, intenta lanzar un archivo legítimo presente en la plataforma Linknat. Esto sugiere que el binario malicioso podría de alguna manera insertarse en una cadena de arranque normal de la plataforma para lograr la persistencia y posiblemente hacerse pasar por un componente del software del softswitch de Linknat", concluyó Cherepanov.