Un groupe de menaces nommé « ResumeLooters » a volé les données personnelles de plus de deux millions de demandeurs d’emploi après avoir compromis 65 sites légitimes d’offres d’emploi et de vente au détail à l’aide d’attaques par injection SQL et par script intersite (XSS).

Les attaquants se concentrent principalement sur la région APAC, ciblant des sites en Australie, à Taiwan, en Chine, en Thaïlande, en Inde et au Vietnam pour voler les noms, adresses e-mail, numéros de téléphone, antécédents professionnels, éducation et autres informations pertinentes des demandeurs d’emploi.

Selon Group-IB, qui suit le groupe de menaces depuis ses débuts, en novembre 2023, des pilleurs de CV ont tenté de vendre les données volées via les canaux Telegram.

Compromettre des sites légitimes
ResumeLooters utilise principalement l’injection SQL et XSS pour atteindre des sites ciblés, principalement des boutiques de recherche d’emploi et de vente au détail.

Leur phase de test de stylo impliquait l’utilisation d’outils open source tels que:

  • SQLmap-Automatise la détection et l’exploitation des failles d’injection SQL, en prenant en charge les serveurs de bases de données.
  • Acunetix-Scanner de vulnérabilités Web identifiant les vulnérabilités courantes telles que l’injection XSS et SQL et fournissant des rapports de correction.
  • Beef Framework-Exploite les vulnérabilités des navigateurs Web, évaluant la posture de sécurité d’une cible via des vecteurs côté client.
  • Rayons X-Détecte les vulnérabilités des applications Web, révélant la structure et les faiblesses potentielles.
  • Metasploit-Développe et exécute du code d’exploitation sur des cibles, également utilisé pour les évaluations de sécurité.
  • ARL (Asset Reconnaissance Lighthouse) – Analyse et cartographie les actifs en ligne, identifiant les vulnérabilités potentielles de l’infrastructure réseau.
  • Dirsearch-Outil de ligne de commande pour forcer brutalement les répertoires et les fichiers dans les applications Web, découvrant les ressources cachées.

Après avoir identifié et exploité les failles de sécurité sur les sites cibles, ResumeLooters injecte des scripts malveillants dans de nombreux emplacements du code HTML d’un site Web.

Certaines de ces injections seront insérées pour déclencher le script, mais d’autres emplacements, comme les éléments de formulaire ou les balises d’ancrage, afficheront simplement le script injecté, comme illustré ci-dessous.​

Script injecté sur le site cible

Cependant, lorsqu’il est correctement injecté, un script distant malveillant sera exécuté qui affiche des formulaires de phishing pour voler les informations des visiteurs.

Le Groupe IB a également observé des cas où les attaquants utilisaient des techniques d’attaque personnalisées, telles que la création de faux profils d’employeur et la publication de faux documents de CV contenant les scripts XSS.

Cv malveillant utilisé pour l’injection de script

Grâce à une erreur d’opsec des attaquants, Group-IB a pu infiltrer la base de données hébergeant les données volées, révélant que les attaquants ont réussi à établir un accès administrateur sur certains des sites compromis.

Open directory exposant des données volées

ResumeLooters mène ces attaques à des fins lucratives, en tentant de vendre des données volées à d’autres cybercriminels via au moins deux comptes Telegram qui utilisent des noms chinois, à savoir « 中中 and « (Centre de données de pénétration) et « 国国数据阿力 » (World Data Ali).

Bien que Group-IB ne confirme pas explicitement l’origine des attaquants, les repreneurs vendant des données volées dans des groupes de langue chinoise et utilisant des versions chinoises d’outils, comme X-Ray, rendent très probable qu’ils proviennent de Chine.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *