CDRThief. Malware que ataca a plataformas VoIP Chinas

La empresa de ciberseguridad Eset, ha publicado un informe en el cual analizan un malware que afecta a plataformas VoIP que utilizan switches por software softswitch.

Un softwitch es un elemento clave en una red VoIP que actúa como conmutador de software y proporciona control sobre las llamadas VoIP. El malware está orientado para afectar a los softswitches de Linknat VOS2009 y VOS3000.

El nombre del malware viene dado porque roba datos de los CDR de los softswitches, que son los registros donde se almacenan todos los datos de las llamadas realizadas: hora de las llamadas, duraciones, IPs, etc. Estos robos se realizan a través de consultas a la base de datos interna de estos softwitch. Para realizar esto, el malware obtiene los datos de configuración de los archivos más comunes, que suelen estar en una de estas rutas:

  • /usr/kunshi/vos2009/server/etc/server_db_config.xml
  • /usr/kunshi/vos3000/server/etc/server_db_config.xml
  • /home/kunshi/vos2009/server/etc/server_db_config.xm
  • /home/kunshi/vos3000/server/etc/server_db_config.xm
  • /home/kunshi/vos2009/etc/server_db_config.xml
  • /home/kunshi/vos3000/etc/server_db_config.xml
  • /usr/kunshi/vos2009/server/etc/serverdbconfig.xml
  • /usr/kunshi/vos3000/server/etc/serverdbconfig.xml

Se cree que los desarrolladores de este malware tienen un nivel técnico muy alto, puesto que la clave de acceso a la base de datos está cifrada y para poder descifrarla han tenido que aplicar conocimientos avanzados de ingeniería inversa.

Rutina de descifrado de las cadenas

La muestra analizada fue compilada con un compilador de Go, y aunque no modificaron los símbolos de depuración, cifraron todas las cadenas de aspecto sospechoso para dificultar su análisis. Para esto utilizaron el algoritmo de cifrado XXTEA utilizando la clave de cifrado ‘fhu84ygf8643’ para después codificarlos en base64.

Como dato curioso sobre el malware respecto a otros malware, es que la puerta trasera de este malware no permite la ejecución de comandos de Shell, aunque se cree que en una futura actualización este comportamiento pueda ser añadido.

También resulta curioso que este malware esté hecho para afectar a estas plataformas tan específicas sin bloquearlas, dañarlas o secuestrarlas, por lo que se sospecha que una de los principales objetivos sea el ciberespionaje o el fraude por VoIP.

Más información:

Who is calling? CDRThief targets Linux VoIP softswitches
https://www.welivesecurity.com/2020/09/10/who-callin-cdrthief-linux-voip-softswitches/

New CDRThief malware steals VoIP metadata from Linux softswitches
https://www.bleepingcomputer.com/news/security/new-cdrthief-malware-steals-voip-metadata-from-linux-softswitches/

Muestras detectadas
https://www.virustotal.com/gui/file/665acb48f9ad6317806231e52e5d3d05e91a93b20f40771a55e634192e8b094b/detection
https://www.virustotal.com/gui/file/6b15cf51e4dff3e25b805173eef88940dbeb52b2662bd265450e6e54d5bb84d6/detection
https://www.virustotal.com/gui/file/ffe88d3012c15a680a506f0382264ea763ff2d426bf4ad3caf03111d47d9a80c/detection

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.