Agências de tarefa e empresas de varejo localizadas principalmente na região Ásia-Pacífico (APAC) foram branco de uma ameaço anteriormente não documentada, conhecida porquê CurrículoLooters desde o início de 2023 com o objetivo de roubar dados confidenciais.
O Grupo-IB, com sede em Cingapura, disse que as atividades da equipe de hackers são voltadas para plataformas de procura de tarefa e roubo de currículos, com até 65 sites comprometidos entre novembro de 2023 e dezembro de 2023.
Estima-se que os arquivos roubados contenham 2.188.444 registros de dados de usuários, dos quais 510.259 foram retirados de sites de procura de tarefa. Mais de dois milhões de endereços de e-mail exclusivos estão presentes no conjunto de dados.
“Ao usar ataques de injeção de SQL contra sites, o agente da ameaço tenta roubar bancos de dados de usuários que podem incluir nomes, números de telefone, e-mails e DoBs, muito porquê informações sobre a experiência dos candidatos a tarefa, histórico de tarefa e outros dados pessoais confidenciais”, disse a pesquisadora de segurança Nikita Rostovcev em um relatório compartilhado com o The Hacker News.
“Os dados roubados são logo colocados à venda pelo agente da ameaço nos canais do Telegram.”
O Group-IB disse que também descobriu evidências de infecções por cross-site scripting (XSS) em pelo menos quatro sites legítimos de procura de empregos projetados para carregar scripts maliciosos responsáveis por exibir páginas de phishing capazes de coletar credenciais de gestor.
ResumeLooters é o segundo grupo depois do GambleForce que foi encontrado realizando ataques de injeção de SQL na região APAC desde o final de dezembro de 2023.
A maioria dos sites comprometidos está baseada na Índia, Taiwan, Tailândia, Vietnã, China, Austrália e Turquia, embora também tenham sido relatados comprometimentos no Brasil, nos EUA, na Turquia, na Rússia, no México e na Itália.
O modus operandi do ResumeLooters envolve o uso da instrumento sqlmap de código lhano para realizar ataques de injeção de SQL e descartar e executar cargas adicionais, porquê a instrumento de teste de penetração BeEF (abreviatura de Browser Exploitation Framework) e código JavaScript não autorizado projetado para coletar dados confidenciais e redirecionar usuários para páginas de coleta de credenciais.
A estudo da empresa de segurança cibernética da infraestrutura do agente da ameaço revela a presença de outras ferramentas porquê Metasploit, dirsearch e xray, juntamente com uma pasta que hospeda os dados furtados.
A campanha parece ter motivação financeira, oferecido o vestuário de que ResumeLooters criou dois canais de Telegram chamados Penetration Data Center e GDS Ali no ano pretérito para vender as informações.
“ResumeLooters é mais um exemplo de quanto dano pode ser causado com unicamente um punhado de ferramentas disponíveis publicamente”, disse Rostovcev. “Esses ataques são alimentados por segurança deficiente, muito porquê por práticas inadequadas de gerenciamento de bancos de dados e sites”.
“É impressionante ver porquê alguns dos ataques SQL mais antigos, mas notavelmente eficazes, continuam predominantes na região. No entanto, a tenacidade do grupo ResumeLooters se destaca enquanto eles experimentam diversos métodos de exploração de vulnerabilidades, incluindo ataques XSS.”
