Hackers exploram quadros de empregos, roubando milhões de currículos e dados pessoais
6 de Fevereiro de 2024

Agências de emprego e empresas de varejo principalmente localizadas na região Ásia-Pacífico (APAC) têm sido alvo de um ator de ameaça até então não documentado conhecido como ResumeLooters desde o início de 2023, com o objetivo de roubar dados sensíveis.

O Grupo-IB, com sede em Singapura, disse que as atividades da equipe de hackers são voltadas para plataformas de busca de emprego e o roubo de currículos, com até 65 sites comprometidos entre novembro de 2023 e dezembro de 2023.

Estima-se que os arquivos roubados contenham 2.188.444 registros de dados de usuários, dos quais 510.259 foram obtidos de sites de busca de emprego.

Mais de dois milhões de endereços de e-mail únicos estão presentes no conjunto de dados.

"Ao usar ataques de injeção SQL contra sites, o ator de ameaça tenta roubar bancos de dados de usuários que podem incluir nomes, números de telefone, e-mails, datas de nascimento, além de informações sobre a experiência, histórico de emprego e outros dados pessoais sensíveis dos candidatos a emprego," disse o pesquisador de segurança Nikita Rostovcev em um relatório compartilhado com o The Hacker News.

"Os dados roubados são então colocados à venda pelo ator da ameaça em canais de Telegram."

O Grupo-IB disse ter descoberto evidências de infecções por cross-site scripting (XSS) em pelo menos quatro sites legítimos de busca de emprego projetados para carregar scripts maliciosos responsáveis por exibir páginas de phishing capazes de coletar credenciais de administrador.

ResumeLooters é o segundo grupo, após o GambleForce, a realizar ataques de injeção SQL na região APAC desde o final de dezembro de 2023.

A maioria dos sites comprometidos está baseada na Índia, Taiwan, Tailândia, Vietnã, China, Austrália e Turquia, embora comprometimentos também tenham sido relatados no Brasil, EUA, Turquia, Rússia, México e Itália.

O modus operandi do ResumeLooters envolve o uso da ferramenta de código aberto sqlmap para realizar ataques de injeção SQL e fazer o upload e executar cargas adicionais, como a ferramenta de teste de penetração BeEF (abreviação para Browser Exploitation Framework) e código JavaScript fraudulento projetado para coletar dados sensíveis e redirecionar usuários para páginas de coleta de credenciais.

A análise da empresa de cibersegurança sobre a infraestrutura do ator de ameaça revela a presença de outras ferramentas como Metasploit, dirsearch e xray, além de uma pasta hospedando os dados roubados.

A campanha parece ser motivada financeiramente, dado o fato de que os ResumeLooters criaram dois canais no Telegram chamados 渗透数据中心 e 万国数据阿力 no ano passado para vender as informações.

"ResumeLooters é mais um exemplo do quanto de dano pode ser causado com apenas um punhado de ferramentas publicamente disponíveis," disse Rostovcev.

"Esses ataques são alimentados pela má segurança, bem como práticas inadequadas de gestão de banco de dados e sites."

"É impressionante ver como alguns dos ataques SQL mais antigos e notavelmente eficazes continuam prevalentes na região.

No entanto, a persistência do grupo ResumeLooters se destaca à medida que experimentam diversos métodos de exploração de vulnerabilidades, incluindo ataques XSS."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...