Hay un nuevo malware, denominado CDRThief, que está específicamente diseñado para afectar a dos plataformas VoIP que utilizan switches por software (softswitch) fabricados en China: Linknat VOS2009 y VOS3000. La compañía de ciberseguridad ESET ha advertido de la existencia de esta nueva amenaza.
Según explican fuentes de ESET, un softswitch es un elemento clave de una red VoIP, ya que proporciona control sobre las llamadas, la facturación y su gestión. Basadas en software, estas soluciones se ejecutan en servidores Linux estándar y, en este sentido, la compañía resalta que CDRThief es aún más interesante porque no es habitual encontrar malwares que estén completamente diseñados para Linux.
Además, señalan que el objetivo principal de CDRThief es extraer datos privados del softswitch comprometido, incluidos los registros de llamadas.
"Es complicado saber cuál es el propósito final de los atacantes que utilizan este malware, pero, como hemos visto que extrae información sensible –incluyendo metadatos de las llamadas-, parece razonable pensar que se utiliza como método de ciberespionaje. Otro posible fin es que se esté utilizando para cometer fraude con líneas VoIP, ya que al conseguir información sobre la actividad de los softswitches y sus gateways, se puede cometer fraude en la facturación", afirma el investigador de ESET Anton Cherepanov. "CDRThief incluye metadatos sobre las llamadas VoIP realizadas, como la dirección IP de los interlocutores, hora de inicio de la llamada, duración o tarifas, entre otros".
Cómo consigue extraer la información
ESET también aclara que, para robar estos metadatos, el malware lanza peticiones internas a las bases de datos MySQL utilizadas por los softswitches, lo que evidencia unos amplios conocimientos por parte de los delincuentes de las arquitecturas internas de las plataformas atacadas.
"Encontramos estemalware en una de los repositorios de muestras que utilizamos y, al tratarse deun malware completamente nuevo para Linux, llamó nuestra atención", declaraCherepanov. "Aún más interesante fuecuando nos dimos cuenta de que atacaba a una plataforma específica de VoIP paraLinux".
Además, ESET explica que, para esconder las funcionalidadesmaliciosas en un análisis estático básico, los delincuentes cifran cualquier cadenasospechosa. La contraseña del archivo de configuración se almacena cifrada,pero el malware Linux/CDRThief es capaz de leerla y descifrarla, lo que reflejanuevamente el alto conocimiento por parte de los ciberdelincuentes de laplataforma atacada, ya que ni el algoritmo ni las claves de cifrado seencuentran documentadas. De hecho, los operadores y los autores del malware sonlos únicos que pueden descifrar los datos extraídos.
"El malware puede desplegarse en cualquier lugar del disco con cualquier nombre de archivo. No se sabe qué tipo de persistencia se utiliza para iniciarlo; sin embargo, una vez que se ha iniciado, intenta ejecutar un archivo legítimo presente en la plataforma Linknat, lo que sugiere que el código malicioso puede estar insertado de alguna forma en la cadena de arranque habitual de la plataforma para así conseguir persistencia y camuflarse como un componente del software softswitch de Linknat", concluye Cherepanov.
Si desea más información sobre CDRThief, puede consultar el blog de ESET.