«ResumeLooters» против соискателей: как найти работу, не лишившись личных данных

Хакерская группировка «ResumeLooters» совершила масштабную кражу личных данных более двух миллионов соискателей, взломав 65 законных сайтов по поиску работы и розничных интернет-магазинов с помощью атак SQL-инъекции и межсайтового скриптинга (XSS).

Основное внимание злоумышленников сосредоточено на Азиатско-Тихоокеанском регионе, включая Австралию, Тайвань, Китай, Таиланд, Индию и Вьетнам. В перечень украденных данных входят имена, электронные адреса, телефонные номера, история занятости, образование и другая информация соискателей.

По информации компании Group-IB, следящей за действиями этой группы с момента её появления в ноябре 2023 года, «ResumeLooters» продают украденные данные через специально созданные каналы в Telegram.

В своих атаках группа использовала открытые инструменты, такие как SQLmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL (Asset Reconnaissance Lighthouse) и Dirsearch. Эти инструменты помогали обнаруживать и эксплуатировать уязвимости на целевых сайтах, после чего «ResumeLooters» внедряли вредоносные скрипты в HTML-код сайтов.

Особенно интересным является то, что злоумышленники использовали фальшивые профили работодателей и размещали поддельные документы резюме, содержащие XSS-скрипты. Это позволяло им воровать информацию посетителей сайтов через фишинговые формы.

Благодаря ошибке в операционной безопасности злоумышленников, специалистам Group-IB удалось проникнуть в базу с украденными данными и выявить, что атакующие получили административный доступ к некоторым из скомпрометированных сайтов.

«ResumeLooters» осуществляют свои атаки с целью финансовой выгоды, продавая данные другим киберпреступникам, используя китайские псевдонимы. Хотя Group-IB не подтверждает происхождение атакующих напрямую, продажа украденных данных в китайскоязычных группах и использование китайских версий инструментов, делает высоко вероятным, что злоумышленники «ResumeLooters» действительно имеют китайское происхождение.