Les agences pour l’emploi et les entreprises de vente au détail situées principalement dans la région Asie-Pacifique (APAC) ont été ciblées par un acteur malveillant jusqu’alors sans papiers connu sous le nom de CVLooters depuis début 2023 dans le but de voler des données sensibles.
Group-IB, dont le siège est à Singapour, a déclaré que les activités de l’équipe de piratage étaient orientées vers les plateformes de recherche d’emploi et le vol de CV, avec jusqu’à 65 sites Web compromis entre novembre 2023 et décembre 2023.
On estime que les fichiers volés contiennent 2 188 444 enregistrements de données utilisateur, dont 510 259 proviennent de sites Web de recherche d’emploi. Plus de deux millions d’adresses e-mail uniques sont présentes dans l’ensemble de données.
« En utilisant des attaques par injection SQL contre des sites Web, l’acteur malveillant tente de voler des bases de données d’utilisateurs pouvant inclure des noms, des numéros de téléphone, des e-mails et des dates de naissance, ainsi que des informations sur l’expérience des demandeurs d’emploi, leurs antécédents professionnels et d’autres données personnelles sensibles. » Nikita Rostovcev, chercheur en sécurité dit dans un rapport partagé avec The Hacker News.
« Les données volées sont ensuite mises en vente par l’acteur malveillant sur les chaînes Telegram. »
Group-IB a déclaré avoir également découvert des preuves d’infections par cross-site scripting (XSS) sur au moins quatre sites Web de recherche d’emploi légitimes, conçus pour charger des scripts malveillants responsables de l’affichage de pages de phishing capables de récolter des informations d’identification d’administrateur.
ResumeLooters est le deuxième groupe après GambleForce à avoir été découvert en train d’organiser des attaques par injection SQL dans la région APAC depuis fin décembre 2023.
La majorité des sites Web compromis sont basés en Inde, à Taiwan, en Thaïlande, au Vietnam, en Chine, en Australie et en Turquie, bien que des compromissions aient également été signalées au Brésil, aux États-Unis, en Turquie, en Russie, au Mexique et en Italie.
Le mode opératoire de ResumeLooters implique l’utilisation du logiciel open source carte SQL outil pour mener des attaques par injection SQL et supprimer et exécuter des charges utiles supplémentaires telles que le Bœuf (abréviation de Browser Exploitation Framework) outil de test d’intrusion et code JavaScript malveillant conçu pour collecter des données sensibles et rediriger les utilisateurs vers des pages de collecte d’informations d’identification.
L’analyse de l’infrastructure de l’acteur menaçant par la société de cybersécurité révèle la présence d’autres outils comme Metasploit, rechercheet radiographieà côté d’un dossier hébergeant les données volées.
La campagne semble être motivée par des raisons financières, étant donné que ResumeLooters a créé l’année dernière deux chaînes Telegram nommées 渗透数据中心 et 万国数据阿力 pour vendre l’information.
« ResumeLooters est un autre exemple de l’ampleur des dégâts qui peuvent être causés avec seulement une poignée d’outils accessibles au public », a déclaré Rostovcev. « Ces attaques sont alimentées par une sécurité médiocre ainsi que par des pratiques inadéquates de gestion des bases de données et des sites Web. »
« Il est frappant de voir à quel point certaines des attaques SQL les plus anciennes, mais remarquablement efficaces, restent répandues dans la région. Cependant, la ténacité du groupe ResumeLooters se démarque alors qu’il expérimente diverses méthodes d’exploitation des vulnérabilités, y compris les attaques XSS.