Skip links

Hackers roubam dados de 2 milhões em injeção de SQL e ataques XSS

Um grupo de ameaças chamado ‘ResumeLooters’ roubou os dados pessoais de mais de dois milhões de candidatos a emprego depois de comprometer 65 listas de empregos legítimas e sites de varejo usando injeção de SQL e ataques de script entre sites (XSS).

Os invasores se concentram principalmente na região APAC, visando sites na Austrália, Taiwan, China, Tailândia, Índia e Vietnã para roubar nomes, endereços de e-mail, números de telefone, histórico de emprego, educação e outras informações relevantes de candidatos a emprego.

Segundo o Group-IB, que acompanha o grupo de ameaças desde o seu início, em novembro de 2023, ResumeLooters tentou vender os dados roubados através dos canais do Telegram.

Comprometendo sites legítimos

ResumeLooters emprega principalmente injeção de SQL e XSS para violar sites direcionados, principalmente lojas de varejo e de busca de emprego.

A fase de pen-testing envolveu o uso de ferramentas de código aberto como:

  • SQLmap – Automatiza a detecção e exploração de falhas de injeção de SQL, assumindo o controle dos servidores de banco de dados.
  • Acunetix – scanner de vulnerabilidades da Web que identifica vulnerabilidades comuns, como XSS e injeção de SQL, e fornece relatórios de correção.
  • Beef Framework – Explora vulnerabilidades do navegador da web, avaliando a postura de segurança de um alvo por meio de vetores do lado do cliente.
  • X-Ray – Detecta vulnerabilidades de aplicativos da web, revelando estrutura e possíveis pontos fracos.
  • Metasploit – Desenvolve e executa código de exploração contra alvos, também usado para avaliações de segurança.
  • ARL (Asset Reconnaissance Lighthouse) – Verifica e mapeia ativos online, identificando vulnerabilidades potenciais na infraestrutura de rede.
  • Dirsearch – Ferramenta de linha de comando para forçar diretórios e arquivos em aplicativos da web, descobrindo recursos ocultos.

Depois de identificar e explorar pontos fracos de segurança nos sites alvo, o ResumeLooters injeta scripts maliciosos em vários locais do HTML de um site.

Algumas dessas injeções serão inseridas para acionar o script, mas outros locais, como elementos de formulário ou tags âncora, simplesmente exibirão o script injetado, conforme mostrado abaixo.​

Script injetado no site de destino Fonte: Group-IB

No entanto, quando injetado corretamente, será executado um script remoto malicioso que exibe formulários de phishing para roubar informações dos visitantes.

O Group-IB também observou casos em que os invasores empregaram técnicas de ataque personalizadas, como a criação de perfis de empregadores falsos e a publicação de documentos CV falsos para conter os scripts XSS.

Currículo malicioso usado para injeção de script Fonte: Group-IB

Graças a um erro de operação dos invasores, o Grupo-IB conseguiu se infiltrar no banco de dados que hospeda os dados roubados, revelando que os invasores conseguiram estabelecer acesso de administrador em alguns dos sites comprometidos.

ResumeLooters conduz esses ataques para obter ganhos financeiros, tentando vender dados roubados a outros cibercriminosos através de pelo menos duas contas do Telegram que usam nomes chineses, nomeadamente “渗透数据中心” (Penetration Data Center) e “万国数据阿力” (World Data Ali) .

Embora o Group-IB não confirme explicitamente a origem dos invasores, ResumeLooters que vendem dados roubados em grupos de língua chinesa e usam versões chinesas de ferramentas,  como o X-Ray , tornam altamente provável que sejam da China.


This website uses cookies to improve your web experience.
pt_BRPortuguese