Μια νέα ομάδα από hackers, με το όνομα “ResumeLooters“, έκλεψε τα προσωπικά δεδομένα περισσότερων από δύο εκατομμυρίων ατόμων που αναζητούν εργασία, μετά την παραβίαση 65 νόμιμων λιστών θέσεων εργασίας και sites λιανικής. Οι παραβιάσεις έγιναν μέσω SQL injection και cross-site scripting (XSS) επιθέσεων.

Οι hackers στόχευσαν κυρίως sites στην Αυστραλία, την Ταϊβάν, την Κίνα, την Ταϊλάνδη, την Ινδία και το Βιετνάμ και έκλεψαν διάφορα στοιχεία, όπως ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου, ιστορικό απασχόλησης, εκπαίδευση και άλλες σχετικές πληροφορίες που δίνει ένα άτομο όταν αναζητά εργασία.

Αυτές οι επιθέσεις εντοπίστηκαν από την Group-IB, η οποία παρακολουθεί τη hacking ομάδα τουλάχιστον από τον Νοέμβριο του 2023. Σύμφωνα με τους ερευνητές, η ResumeLooters επιχείρησε να πουλήσει τα κλεμμένα δεδομένα μέσω καναλιών Telegram.

Δείτε επίσης: Deepfake scam: Πώς μια ψεύτικη τηλεδιάσκεψη οδήγησε στην κλοπή $25 εκατ.

Όπως προείπαμε, οι hackers ResumeLooters χρησιμοποίησαν SQL injection και XSS (συνήθεις τακτικές για αυτούς) για να παραβιάσουν στοχευμένους ιστότοπους, κυρίως καταστήματα που αναζητούν άτομα για εργασία και καταστήματα λιανικής.

Η pen-testing φάση περιλάμβανε τη χρήση εργαλείων ανοιχτού κώδικα όπως:

  • SQLmap: Αυτοματοποιεί τον εντοπισμό και την εκμετάλλευση σφαλμάτων SQL injection, αναλαμβάνοντας τον έλεγχο database servers.
  • Beef Framework: Εκμεταλλεύεται τα τρωτά σημεία του προγράμματος περιήγησης.
  • Acunetix: Ένας σαρωτής ευπαθειών στο διαδίκτυο, που εντοπίζει συνηθισμένα κενά ασφαλείας, όπως XSS και SQL injection και παρέχει remediation reports.
  • ARL (Asset Reconnaissance Lighthouse): Σαρώνει και χαρτογραφεί διαδικτυακά στοιχεία, εντοπίζοντας πιθανά τρωτά σημεία στην υποδομή δικτύου.
  • X-Ray: Εντοπίζει ευπάθειες εφαρμογών ιστού.
  • Metasploit: Αναπτύσσει και εκτελεί  exploit code έναντι στόχων.
  • Dirsearch: Command-line tool για brute-forcing directories και αρχείων σε εφαρμογές web, αποκαλύπτοντας κρυφούς πόρους.

Δείτε επίσης: Have I Been Pwned: Προσθέτει 71 εκατομμύρια emails από τη λίστα κλοπής λογαριασμών του Naz.API

Αφού εντοπίσει και εκμεταλλευτεί τις αδυναμίες ασφαλείας σε ιστότοπους-στόχους, οι hackers ResumeLooters εισάγουν κακόβουλα scripts σε πολλές τοποθεσίες στο HTML ενός ιστότοπου.

Με επιτυχημένο SQL injection, θα εκτελεστεί ένα κακόβουλο απομακρυσμένο script που εμφανίζει phishing forms για την κλοπή των πληροφοριών των επισκεπτών.

Σύμφωνα με τους ερευνητές της Group-IB, σε κάποιες περιπτώσεις, οι hackers χρησιμοποίησαν προσαρμοσμένες τεχνικές επίθεσης. Για παράδειγμα, δημιούργησαν πλαστά προφίλ εργοδότη και μοιράστηκαν ψεύτικα βιογραφικά που περιείχαν τα XSS scripts.

Ωστόσο, χάρη σε ένα λάθος opsec των εισβολέων, η Group-IB κατάφερε να διεισδύσει στη βάση δεδομένων που φιλοξενούσε τα κλεμμένα δεδομένα, και κατάλαβε ότι οι επιτιθέμενοι είχαν πρόσβαση διαχειριστή σε ορισμένους από τους παραβιασμένους ιστότοπους.

Οι hackers ResumeLooters κλέβουν τα δεδομένα για οικονομικό όφελος, αφού προσπαθούν να τα πουλήσουν σε άλλους εγκληματίες του κυβερνοχώρου μέσω τουλάχιστον δύο λογαριασμών Telegram που χρησιμοποιούν κινεζικά ονόματα, συγκεκριμένα “渗透数据中心” (Penetration Data Center) και “万国数据阿or力” (World Data Ali).

Δείτε επίσης: Ψεύτικες δηλώσεις 401K year-end χρησιμοποιούνται για κλοπή εταιρικών διαπιστευτηρίων

Η Group-IB δεν έχει αναφέρει την προέλευση των hackers ResumeLooters. Ωστόσο, τα στοιχεία δείχνουν ότι πωλούν τα δεδομένα σε ομάδες που μιλούν κινεζικά και χρησιμοποιούν κινεζικές εκδόσεις εργαλείων, όπως το X-Ray.

Οι επιπτώσεις για τους ανθρώπους που πέφτουν θύματα κλοπής δεδομένων είναι πολλές και σοβαρές. Πρώτον, στοιχεία της ταυτότητάς τους μπορεί να χρησιμοποιηθούν για παράνομες δραστηριότητες, όπως η απάτη πιστωτικών καρτών ή η παραποίηση ταυτότητας.

Δεύτερον, η οικονομική τους κατάσταση μπορεί να επηρεαστεί αρνητικά, καθώς οι hackers μπορεί να προσπαθήσουν να αποκτήσουν πρόσβαση σε τραπεζικούς λογαριασμούς. Αυτό μπορεί να οδηγήσει σε χρέη ή ακόμα και σε οικονομική καταστροφή.

Τρίτον, οι πληροφορίες που διαρρέουν μπορεί να περιλαμβάνουν ευαίσθητα δεδομένα, όπως ιατρικές πληροφορίες ή πληροφορίες σχετικά με την οικογένεια και την προσωπική ζωή. Αυτό μπορεί να οδηγήσει σε παραβιάσεις της ιδιωτικότητας και της εμπιστοσύνης.

Τέλος, η ψυχολογική επίπτωση μπορεί να είναι τεράστια. Οι άνθρωποι που πέφτουν θύματα τέτοιων επιθέσεων μπορεί να αισθάνονται αβοήθητοι, προδομένοι και ανασφαλείς. Αυτό μπορεί να οδηγήσει σε στρες, άγχος και άλλα ψυχολογικά προβλήματα.

Πηγή: www.bleepingcomputer.com