أعلنت شركة الأمن السيبراني Group-IB للتو أن مجموعة من القراصنة تسمى ResumeLooters قامت بسرقة البيانات الشخصية لأكثر من 2 مليون باحث عن عمل من خلال التسلل إلى 65 موقعًا تجاريًا وموقعًا للتوظيف من خلال هجمات SQL و XSS.

ركزت الهجمات على منطقة آسيا والمحيط الهادئ، مستهدفة مواقع الويب في أستراليا والصين وتايلاند والهند وفيتنام وغيرها. قام ResumeLooters بجمع الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف وسجلات التوظيف والتعليم وغيرها من المعلومات ذات الصلة بطالبي العمل. وبحسب مجموعة آي بي، تأسست المجموعة الإجرامية في نوفمبر 2023 وباعت بيانات مسروقة عبر قنوات تيليجرام.

يستخدم ResumeLooters بشكل أساسي أدوات مفتوحة المصدر مثل SQLmap وAcunetix وMetasploit... لمهاجمة مواقع البيع بالتجزئة والبحث عن الوظائف عبر SQL وXSS. وبمجرد تحديد نقاط الضعف الأمنية على مواقع الويب واستغلالها، قامت المجموعة بحقن أوامر ضارة في مواقع متعددة في HTML.

عند الحقن بشكل صحيح، سيتم تنفيذ مجموعة من البرامج النصية الضارة لعرض نماذج التصيد لسرقة معلومات الزائرين. وقالت شركة Group-IB إنها شهدت حالات استخدم فيها المتسللون تقنيات مخصصة مثل إنشاء ملفات تعريف وهمية لأصحاب العمل ونشر السير الذاتية المزيفة لتحتوي على نصوص XSS.

بفضل خطأ في التكوين، تمكنت مجموعة IB من الوصول إلى قاعدة البيانات المسروقة، وقالت إن المهاجمين حاولوا الحصول على حق الوصول إلى المسؤول على بعض المواقع الإلكترونية المخترقة. وفي حين لم يتم تأكيد أصل المهاجمين، أفادت التقارير أن ResumeLooters كانت تبيع البيانات في مجموعات ناطقة باللغة الصينية، فضلاً عن استخدام إصدارات صينية من أدوات مفتوحة المصدر.