Los ciberdelincuentes utilizan suplantación de identidad el sitio disfrazado en la página de carrera de Huawei para dirigirse a personas que trabajan en la industria de las telecomunicaciones, según una nueva investigación realizada por software de seguridad proveedor McAfee.
Denominada «Operación Diànxùn» por el equipo de inteligencia estratégica de Advanced Threat Research (ATR), la campaña tiene como objetivo espiar a las empresas de telecomunicaciones en el sudeste asiático, Europa y Estados Unidos, centrándose en los negocios alemanes, vietnamitas e indios.
Los investigadores de McAfee tienen un «nivel moderado de confianza» en la campaña de phishing, que se ha centrado en robar información confidencial o secreta sobre 5G tecnología, podría haber sido motivado por la prohibición de equipos chinos en China rollo 5G globalt.
Por ejemplo, los proveedores de telecomunicaciones del Reino Unido prohibido de la compra de nuevos equipos al 31 de diciembre de 2020, así como de la instalación de equipos Huawei en redes 5G en el país a partir de septiembre de 2021. Mientras tanto, los últimos informes muestran que la administración Biden continuará con severas restricciones para la tecnología china. empresas. por introduciendo una regla de la era Trump sobre compras y ofertas de tecnología.
Sin embargo, a pesar de que los ciberdelincuentes optaron por utilizar el sitio de carrera de Huawei como modelo para su sitio de phishing, el equipo de McAfee señaló que no encontraron pruebas que sugirieran que Huawei estuviera involucrado a sabiendas en Operación Diànxùn.
Al detallar sus hallazgos, los investigadores Thomas Roccia, Thibault Seret y John Fokker dijeron que “descubrieron malware que se disfrazó de aplicaciones Flash, a menudo conectándose al dominio «hxxp: //update.careerhuawei.net» que estaba bajo el control del actor de la amenaza.
“El dominio malicioso se creó para que pareciera el sitio de carrera legítimo de la empresa de tecnología Huawei, que tiene el dominio; cariera.huawei.com. En diciembre, también noté un nuevo nombre de dominio utilizado en esta campaña: hxxp: //update.huaweiyuncdn.com.
«Además, la muestra disfrazada como una aplicación Flash utilizó el nombre de dominio malicioso ‘hxxp: //flach.cn’, que se hizo para parecerse al sitio web oficial de China para descargar la aplicación Flash, flash.cn», agregaron. .
McAfee también logró identificar que la campaña involucró el uso de una puerta trasera Cobalt Strike, que se encontró la semana pasada como responsable de dirigido a 650 servidores Exchange, algunos de los cuales tenían su sede en el Reino Unido, según ESET.