Hackers roubam dados de 2 milhões em ataques de injeção SQL e XSS
6 de Fevereiro de 2024

Um grupo de ameaças chamado 'ResumeLooters' roubou os dados pessoais de mais de dois milhões de pessoas que procuram emprego, comprometendo 65 sites legítimos de listas de empregos e varejo usando ataques de injeção SQL e cross-site scripting (XSS).

Os atacantes focam principalmente na região APAC, mirando sites na Austrália, Taiwan, China, Tailândia, Índia e Vietnã para roubar nomes de candidatos a emprego, endereços de e-mail, números de telefone, histórico de emprego, educação e outras informações relevantes.

De acordo com o Group-IB, que acompanha o grupo de ameaças desde seu início, em novembro de 2023, o ResumeLooters tentou vender os dados roubados através de canais do Telegram.

O ResumeLooters emprega principalmente injeção SQL e XSS para violar os sites-alvo, principalmente lojas de busca de emprego e varejo.

Sua fase de teste de penetração envolveu o uso de ferramentas de código aberto como:

SQLmap - Automatiza a detecção e exploração de falhas na injeção de SQL, assumindo servidores de banco de dados.

Acunetix - Scanner de vulnerabilidade da web que identifica vulnerabilidades comuns como XSS e injeção SQL e fornece relatórios de remediação.

Beef Framework - Explora vulnerabilidades no navegador da web, avaliando a postura de segurança de um alvo através de vetores no lado do cliente.

X-Ray - Detecta vulnerabilidades em aplicações web, revelando estrutura e potenciais fraquezas.
Metasploit - Desenvolve e executa código de exploração contra alvos, também usado para avaliações de segurança.

ARL (Asset Reconnaissance Lighthouse) - Faz varredura e mapeia ativos online, identificando possíveis vulnerabilidades na infraestrutura de rede.

Dirsearch - Ferramenta de linha de comando para forçar diretórios e arquivos em aplicações web, revelando recursos ocultos.

Após identificar e explorar as falhas de segurança nos sites-alvo, o ResumeLooters injeta scripts maliciosos em vários locais no HTML de um site.

Algumas dessas injeções serão inseridas para acionar o script, mas outros locais, como elementos de formulários ou marcações de âncora, simplesmente exibirão o script injetado, conforme mostrado abaixo.

No entanto, quando devidamente injetado, será executado um script remoto malicioso que exibe formulários de phishing para roubar as informações dos visitantes.

O Group-IB também observou casos em que os atacantes usaram técnicas de ataque personalizadas, como criar perfis de empregadores falsos e postar documentos de CV falsos para conter os scripts XSS.

Graças a um erro de segurança dos atacantes, o Group-IB conseguiu infiltrar-se no banco de dados que hospedava os dados roubados, revelando que os atacantes conseguiram estabelecer acesso de administrador em alguns dos sites comprometidos.

O ResumeLooters realiza esses ataques com fins financeiros, tentando vender dados roubados para outros cibercriminosos através de pelo menos duas contas do Telegram que usam nomes chineses, a saber "渗透数据中心" (Centro de Dados de Penetração) e "万国数据阿力" (Ali Dados Mundiais).

Embora o Group-IB não confirme explicitamente a origem dos atacantes, o fato de o ResumeLooters vender dados roubados em grupos de falantes de chinês e usar versões chinesas de ferramentas, como o X-Ray, torna altamente provável que sejam da China.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...