Eine Bedrohungsgruppe namens „ResumeLooters“ hat persönliche Daten von über zwei Millionen Jobsuchenden gestohlen, indem sie 65 legitime Jobbörsen und Einzelhandelswebsites mittels SQL-Injection und Cross-Site-Scripting (XSS)-Angriffen kompromittiert hat. Die Angriffe zielten hauptsächlich auf den APAC-Raum ab, darunter Websites in Australien, Taiwan, China, Thailand, Indien und Vietnam, um Namen, E-Mail-Adressen, Telefonnummern, Beschäftigungshistorien, Bildungsdaten und weitere relevante Informationen von Jobsuchenden zu entwenden.
Group-IB, die die Aktivitäten der Bedrohungsgruppe seit ihrem Beginn im November 2023 verfolgt, berichtet, dass ResumeLooters versuchte, die gestohlenen Daten über Telegram-Kanäle zu verkaufen. Für die Kompromittierung der Websites nutzte die Gruppe hauptsächlich SQL-Injection und XSS, indem sie Sicherheitsschwachstellen mit Tools wie SQLmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL (Asset Reconnaissance Lighthouse) und Dirsearch ausnutzte.
ResumeLooters injizierte bösartige Skripte in die HTML-Struktur der Zielwebsites, um Phishing-Formulare anzuzeigen und Besucherinformationen zu stehlen. Zudem verwendeten die Angreifer individuelle Angriffstechniken, wie das Erstellen gefälschter Arbeitgeberprofile und das Posten gefälschter Lebensläufe, die XSS-Skripte enthielten. Durch einen Fehler in der Betriebssicherheit konnten die Forscher von Group-IB in die Datenbank mit den gestohlenen Informationen eindringen und feststellen, dass die Angreifer in einigen Fällen Administratorzugriff auf die kompromittierten Websites erlangten.
Die Gruppe führt diese Angriffe durch, um die gestohlenen Daten finanziell zu verwerten, indem sie diese an andere Cyberkriminelle über mindestens zwei Telegram-Konten mit chinesischen Namen verkauft. Obwohl Group-IB die Herkunft der Angreifer nicht ausdrücklich bestätigt, legt der Verkauf gestohlener Daten in chinesischsprachigen Gruppen und die Verwendung chinesischer Versionen von Tools nahe, dass ResumeLooters wahrscheinlich aus China stammen.