Um grupo de ameaças chamado 'ResumeLooters' roubou os dados pessoais de mais de dois milhões de pessoas que procuram emprego, comprometendo 65 sites legítimos de listas de empregos e varejo usando ataques de injeção SQL e cross-site scripting (XSS).
Os atacantes focam principalmente na região APAC, mirando sites na Austrália, Taiwan, China, Tailândia, Índia e Vietnã para roubar nomes de candidatos a emprego, endereços de e-mail, números de telefone, histórico de emprego, educação e outras informações relevantes.
De acordo com o Group-IB, que acompanha o grupo de ameaças desde seu início, em novembro de 2023, o ResumeLooters tentou vender os dados roubados através de canais do Telegram.
O ResumeLooters emprega principalmente injeção SQL e XSS para violar os sites-alvo, principalmente lojas de busca de emprego e varejo.
Sua fase de teste de penetração envolveu o uso de ferramentas de código aberto como:
SQLmap - Automatiza a detecção e exploração de falhas na injeção de SQL, assumindo servidores de banco de dados.
Acunetix - Scanner de vulnerabilidade da web que identifica vulnerabilidades comuns como XSS e injeção SQL e fornece relatórios de remediação.
Beef Framework - Explora vulnerabilidades no navegador da web, avaliando a postura de segurança de um alvo através de vetores no lado do cliente.
X-Ray - Detecta vulnerabilidades em aplicações web, revelando estrutura e potenciais fraquezas.
Metasploit - Desenvolve e executa código de exploração contra alvos, também usado para avaliações de segurança.
ARL (Asset Reconnaissance Lighthouse) - Faz varredura e mapeia ativos online, identificando possíveis vulnerabilidades na infraestrutura de rede.
Dirsearch - Ferramenta de linha de comando para forçar diretórios e arquivos em aplicações web, revelando recursos ocultos.
Após identificar e explorar as falhas de segurança nos sites-alvo, o ResumeLooters injeta scripts maliciosos em vários locais no HTML de um site.
Algumas dessas injeções serão inseridas para acionar o script, mas outros locais, como elementos de formulários ou marcações de âncora, simplesmente exibirão o script injetado, conforme mostrado abaixo.
No entanto, quando devidamente injetado, será executado um script remoto malicioso que exibe formulários de phishing para roubar as informações dos visitantes.
O Group-IB também observou casos em que os atacantes usaram técnicas de ataque personalizadas, como criar perfis de empregadores falsos e postar documentos de CV falsos para conter os scripts XSS.
Graças a um erro de segurança dos atacantes, o Group-IB conseguiu infiltrar-se no banco de dados que hospedava os dados roubados, revelando que os atacantes conseguiram estabelecer acesso de administrador em alguns dos sites comprometidos.
O ResumeLooters realiza esses ataques com fins financeiros, tentando vender dados roubados para outros cibercriminosos através de pelo menos duas contas do Telegram que usam nomes chineses, a saber "渗透数据中心" (Centro de Dados de Penetração) e "万国数据阿力" (Ali Dados Mundiais).
Embora o Group-IB não confirme explicitamente a origem dos atacantes, o fato de o ResumeLooters vender dados roubados em grupos de falantes de chinês e usar versões chinesas de ferramentas, como o X-Ray, torna altamente provável que sejam da China.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...