Un gruppo di cybercriminali precedentemente non documentato, noto come ResumeLooters, sta prendendo di mira agenzie di collocamento e aziende del settore retail principalmente nella regione Asia-Pacifico (APAC) dall’inizio del 2023, con l’obiettivo di rubare dati sensibili. Le attività di questo gruppo si concentrano sulle piattaforme di ricerca di lavoro e sul furto di curriculum, con circa 65 siti web compromessi tra novembre 2023 e dicembre 2023.
I file rubati contengono stime di 2.188.444 record di dati utente, di cui 510.259 prelevati da siti web di ricerca di lavoro, includendo oltre due milioni di indirizzi email unici. Gli attacchi sfruttano vulnerabilità di iniezione SQL contro i siti web per rubare database utente che possono includere nomi, numeri di telefono, email, date di nascita, oltre a informazioni sull’esperienza lavorativa e sulla storia occupazionale dei candidati, dati personali sensibili.
Group-IB ha anche scoperto prove di infezioni XSS (Cross-Site Scripting) su almeno quattro siti web legittimi di ricerca di lavoro, progettati per caricare script dannosi responsabili della visualizzazione di pagine di phishing capaci di raccogliere credenziali di amministratore.
La maggior parte dei siti web compromessi si trova in India, Taiwan, Thailandia, Vietnam, Cina, Australia e Turchia, sebbene siano stati segnalati compromessi anche da Brasile, Stati Uniti, Russia, Messico e Italia. Il modus operandi di ResumeLooters implica l’uso dello strumento open-source sqlmap per eseguire attacchi di iniezione SQL e distribuire ed eseguire payload aggiuntivi come lo strumento di penetration testing BeEF (Browser Exploitation Framework) e codice JavaScript malevolo progettato per raccogliere dati sensibili e reindirizzare gli utenti verso pagine di raccolta credenziali.
L’analisi dell’infrastruttura dell’attore della minaccia rivela la presenza di altri strumenti come Metasploit, dirsearch e xray, insieme a una cartella che ospita i dati rubati. La campagna sembra essere motivata finanziariamente, dato che ResumeLooters ha creato due canali Telegram l’anno scorso per vendere le informazioni.
Questi attacchi sono alimentati da scarse pratiche di sicurezza, nonché da una gestione inadeguata dei database e dei siti web. È sorprendente vedere come alcuni degli attacchi SQL più vecchi ma incredibilmente efficaci rimangano prevalenti nella regione. Tuttavia, la tenacia del gruppo ResumeLooters si distingue poiché sperimentano metodi diversi per sfruttare le vulnerabilità, inclusi gli attacchi XSS.