Un actor de amenazas desconocido llamado ResumeLooters ha estado robando datos confidenciales de agencias de empleo y minoristas en la región de Asia-Pacífico desde principios de 2023. Según Group-IB, hasta 65 sitios web han sido comprometidos desde noviembre de 2023 hasta diciembre de 2023. Se estima que los archivos robados incluyen 2,188,444 registros de datos de usuarios, de los cuales 510,259 pertenecen a sitios web de búsqueda de empleo. Además, hay más de dos millones de direcciones de correo electrónico únicas en el conjunto de datos.
El grupo de hackers utiliza ataques de inyección SQL para robar datos sensibles que pueden incluir nombres, números de teléfono, correos electrónicos, fechas de nacimiento y otros datos personales sensibles de los buscadores de trabajo. Luego, venden los datos robados en canales de Telegram. El informe también señala que se han detectado infecciones de scripting entre sitios cruzados (XSS) en al menos cuatro sitios web legítimos de búsqueda de empleo.
ResumeLooters es el segundo grupo después de GambleForce que se detecta realizando ataques de inyección SQL en la región de APAC desde finales de diciembre de 2023. La mayoría de los sitios web comprometidos se encuentran en India, Taiwán, Tailandia, Vietnam, China, Australia y Turquía, aunque también se han informado de compromisos en Brasil, EE. UU., Rusia, México e Italia.
Para realizar los ataques, ResumeLooters utiliza la herramienta de código abierto SQLmap y otras herramientas como Metasploit, dirsearch y xray, junto con una carpeta que aloja los datos robados. La campaña parece estar motivada por razones financieras y ResumeLooters ha establecido dos canales de Telegram para vender la información.
El informe destaca la importancia de contar con seguridad adecuada y prácticas insuficientes de administración de bases de datos y sitios web como vulnerabilidades que son explotadas por actores amenazantes.
Vía: The Hacker News