Las agencias de empleo y las empresas minoristas ubicadas principalmente en la región de Asia y el Pacífico (APAC) han sido atacadas por un actor de amenazas previamente indocumentado conocido como ResumeLooters desde principios de 2023 con el objetivo de robar datos confidenciales.
Group-IB, con sede en Singapur, dijo que las actividades del equipo de piratería están orientadas a plataformas de búsqueda de empleo y el robo de currículums, con hasta 65 sitios web comprometidos entre noviembre de 2023 y diciembre de 2023.
Se estima que los archivos robados contienen 2.188.444 registros de datos de usuarios, de los cuales 510.259 han sido extraídos de sitios web de búsqueda de empleo. Más de dos millones de direcciones de correo electrónico únicas están presentes en el conjunto de datos.
«Al utilizar ataques de inyección SQL contra sitios web, el actor de amenazas intenta robar bases de datos de usuarios que pueden incluir nombres, números de teléfono, correos electrónicos y DoB, así como información sobre la experiencia de los solicitantes de empleo, su historial laboral y otros datos personales confidenciales». dijo el investigador de seguridad Nikita Rostovcev en un informe compartido con The Hacker News.
«Los datos robados luego son puestos a la venta por el actor de amenazas en los canales de Telegram «.
Group-IB dijo que también descubrió evidencia de infecciones de secuencias de comandos entre sitios (XSS) en al menos cuatro sitios web legítimos de búsqueda de empleo que están diseñados para cargar secuencias de comandos maliciosas responsables de mostrar páginas de phishing capaces de recopilar credenciales de administrador.
ResumeLooters es el segundo grupo después de GambleForce que se ha encontrado organizando ataques de inyección SQL en la región APAC desde finales de diciembre de 2023.
La mayoría de los sitios web comprometidos tienen su sede en India, Taiwán, Tailandia, Vietnam, China, Australia y Turquía, aunque también se han reportado compromisos en Brasil, Estados Unidos, Turquía, Rusia, México e Italia.
El modus operandi de ResumeLooters implica el uso de la herramienta de código abierto sqlmap para llevar a cabo ataques de inyección SQL y soltar y ejecutar cargas útiles adicionales como la herramienta de prueba de penetración BeEF (abreviatura de Browser Exploitation Framework) y código JavaScript fraudulento diseñado para recopilar datos confidenciales. y redirigir a los usuarios a páginas de recolección de credenciales.
El análisis de la empresa de ciberseguridad de la infraestructura del actor de amenazas revela la presencia de otras herramientas como Metasploit, dirsearch y xray , junto con una carpeta que alberga los datos robados.
La campaña parece tener una motivación financiera, dado que ResumeLooters creó dos canales de Telegram llamados 渗透数据中心 y 万国数据阿力 el año pasado para vender la información.
«ResumeLooters es otro ejemplo más de cuánto daño se puede causar con sólo un puñado de herramientas disponibles públicamente», dijo Rostovcev. «Estos ataques se ven impulsados por una seguridad deficiente, así como por prácticas inadecuadas de gestión de bases de datos y sitios web».
«Es sorprendente ver cómo algunos de los ataques SQL más antiguos pero notablemente efectivos siguen prevaleciendo en la región. Sin embargo, la tenacidad del grupo ResumeLooters se destaca mientras experimentan con diversos métodos de explotación de vulnerabilidades, incluidos los ataques XSS».
Fuente y redacción: thehackernews.com
