Los atacantes se centran principalmente en la región de APAC, dirigiéndose a sitios en Australia, Taiwán, China, Tailandia, India y Vietnam para robar datos de solicitantes de empleo, direcciones de correo electrónico, números de teléfono, historial laboral, educación y otra información relevante.
Según Group-IB que ha estado siguiendo al grupo de amenazas desde sus inicios, en noviembre de 2023, ResumeLooters intentó vender los datos robados a través de canales de Telegram.
Comprometiendo sitios legítimos
ResumeLooters emplea principalmente inyección SQL y XSS para comprometer sitios objetivo, principalmente buscadores de empleo y tiendas minoristas.
Su fase de prueba de penetración involucró el uso de herramientas de código abierto como:
SQLmap
Automatiza la detección y explotación de fallos de inyección SQL, tomando el control de servidores de bases de datos.
Acunetix
Escáner de vulnerabilidades web que identifica vulnerabilidades comunes como XSS e inyección SQL y proporciona informes de remedio.
Beef Framework
Explota vulnerabilidades del navegador web, evaluando la postura de seguridad de un objetivo a través de vectores de cliente.
X-Ray
Detecta vulnerabilidades en aplicaciones web, revelando estructura y debilidades potenciales.
Metasploit
Desarrolla y ejecuta código de explotación contra objetivos, también utilizado para evaluaciones de seguridad.
ARL (Asset Reconnaissance Lighthouse)
Escanea y mapea activos en línea, identificando posibles vulnerabilidades en la infraestructura de red.
Dirsearch
Herramienta de línea de comandos para forzar directorios y archivos en aplicaciones web, descubriendo recursos ocultos.
Proceso de los Ataques
Después de identificar y explotar debilidades de seguridad en los sitios objetivo, ResumeLooters inyecta scripts maliciosos en numerosas ubicaciones en el HTML de un sitio web.
Algunas de estas inyecciones se insertarán para activar el script, pero otras ubicaciones, como elementos de formulario o etiquetas de anclaje.
Cuando se inyecta correctamente, un script remoto malicioso se ejecutará que mostrará formularios de phishing para robar la información de los visitantes.
Group-IB también observó casos en los que los atacantes emplearon técnicas de ataque personalizadas, como la creación de perfiles falsos de empleadores y la publicación de documentos de CV falsos para contener los scripts XSS.
Gracias a un error de operaciones de seguridad por parte de los atacantes, Group-IB pudo infiltrarse en la base de datos que aloja los datos robados, revelando que los atacantes lograron establecer acceso de administrador en algunos de los sitios comprometidos.
ResumeLooters lleva a cabo estos ataques con fines de lucro, intentando vender datos robados a otros ciberdelincuentes a través de al menos dos cuentas de Telegram que utilizan nombres chinos.
Aunque Group-IB no confirma explícitamente el origen de los atacantes, el hecho de que ResumeLooters venda datos robados en grupos de habla china y utilice versiones chinas de herramientas, como X-Ray, hace muy probable que sean de China.
Preguntas y respuestas
1. ¿Qué tipos de ataques emplea el grupo de amenazas ‘ResumeLooters’?
ResumeLooters emplea principalmente ataques de inyección SQL y scripting entre sitios (XSS) para comprometer sitios web.
2. ¿Qué herramientas utilizan los atacantes durante la fase de prueba de penetración?
Durante la fase de prueba de penetración, los atacantes utilizan herramientas como SQLmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL y Dirsearch.
3. ¿Qué intentan hacer los atacantes con los datos robados?
Los atacantes intentan vender los datos robados a otros ciberdelincuentes a través de cuentas de Telegram con nombres chinos, buscando obtener beneficios financieros.