A millones de personas que buscaban un nuevo trabajo les robaron sus datos personales y los pusieron a la venta en grupos de chat de la web oscura después de que varios sitios fueran vulnerados.
Los expertos en ciberseguridad del Grupo-IB han publicado un nuevo informe describiendo su investigación sobre un actor de amenazas relativamente nuevo llamado ResumeLooters y cómo pudo vender una enorme base de datos en la web oscura.
ResumeLooters surgió por primera vez en noviembre de 2023, cuando comprometió con éxito 65 sitios minoristas y de ofertas de trabajo utilizando dos técnicas: inyección SQL y secuencias de comandos entre sitios (XSS). Con la ayuda de herramientas como SQLmap, Acunetix, X-Ray o Metasploit, los atacantes pudieron escanear la web en busca de fallas, automatizar la detección y explotación de fallas de inyección SQL, desarrollar y ejecutar código de explotación contra objetivos y más.
En esto por el dinero
Después de identificar y explotar con éxito las fallas en los sitios, los atacantes proceden a inyectar scripts maliciosos en diferentes lugares del HTML. Algunas inyecciones activarán el guión, mientras que otras simplemente lo mostrarán, explicaron los investigadores. El objetivo del script es mostrar un formulario de phishing que roba datos confidenciales de los visitantes.
Aparentemente, a las víctimas les tomaron sus nombres completos, direcciones de correo electrónico, números de teléfono, historial laboral, educación y otra información relevante. Mucha información para un ataque de phishing dirigido o incluso un robo de identidad. La mayoría de las víctimas se encuentran en la parte APAC del mundo, en países como Australia, Taiwán, China, Tailandia, India y Vietnam.
Después de robar los datos, ResumeLooters intentó venderlos en la web oscura, añadió Group-IB. Lo ofrecieron en dos canales de Telegram, utilizando cuentas con nombres chinos. Incluso las herramientas que utilizaron estaban en chino, lo que llevó a los investigadores a concluir que lo más probable es que los ResumeLooters sean de China.
Sin embargo, no parecen estar patrocinadas por el Estado, ya que el objetivo de la campaña era material.
«En menos de dos meses, hemos identificado otro actor de amenazas que realiza ataques de inyección SQL contra empresas en la región de Asia y el Pacífico», dijo Nikita Rostovcev, analista senior del equipo de investigación de amenazas persistentes avanzadas de Group-IB.
“Es sorprendente ver cómo algunos de los ataques SQL más antiguos pero notablemente efectivos siguen prevaleciendo en la región. Sin embargo, destaca la tenacidad del grupo ResumeLooters mientras experimentan con diversos métodos para explotar vulnerabilidades, incluidos los ataques XSS. Además, los ataques de la pandilla cubren una vasta área geográfica”.