Компания Group-IB, занимающаяся кибербезопасностью, только что объявила, что хакерская группа под названием ResumeLooters похитила персональные данные более 2 миллионов соискателей работы, проникнув на 65 коммерческих и поисковых сайтов с помощью SQL- и XSS-атак.

Атаки были сосредоточены в регионе Азиатско-Тихоокеанского региона и были нацелены на веб-сайты в Австралии, Китае, Таиланде, Индии, Вьетнаме и т. д. ResumeLooters собирали имена, адреса электронной почты, номера телефонов, историю трудоустройства, образование и другую соответствующую информацию о соискателях работы. По данным Group-IB, преступная группировка была основана в ноябре 2023 года и продавала украденные данные через каналы Telegram.

ResumeLooters в основном использует инструменты с открытым исходным кодом, такие как SQLmap, Acunetix, Metasploit... для атак через SQL и XSS с целью проникновения на сайты розничной торговли и поиска работы. После того, как уязвимости безопасности на веб-сайтах были обнаружены и использованы, группа внедрила вредоносные команды в несколько мест в HTML-коде.

При правильном внедрении будет запущен набор вредоносных скриптов, которые будут отображать фишинговые формы для кражи информации посетителей. Group-IB заявила, что зафиксировала случаи использования хакерами нестандартных приемов, таких как создание поддельных профилей работодателей и публикация поддельных резюме, содержащих скрипты XSS.

По словам компании, благодаря неправильной настройке Group-IB смогла получить доступ к украденной базе данных, добавив, что злоумышленники попытались получить доступ администратора на некоторых взломанных веб-сайтах. Хотя происхождение злоумышленников не подтверждено, сообщается, что ResumeLooters продает данные в группах, говорящих на китайском языке, а также использует китайские версии инструментов с открытым исходным кодом.