Il nome dice, alla fine, un po' tutto: ResumeLooters ("saccheggiatori di CV") è la denominazione di un gruppo di hacker ostili che - secondo le rilevazioni e le analisi dell’unità di Threat Intelligence di Group-IB - ha colpito almeno 65 siti, principalmente di recruiting e retail, per carpire informazioni personali. La maggior parte delle vittime si trova nella regione Asia-Pacifico, ma alcuni attacchi riusciti sono stati registrati anche in altre zone del mondo. Tra cui anche l'Italia.

Complessivamente, spiega Group-IB, ResumeLooters è riuscita ad esfiltrare diversi database per un totale di oltre due milioni di indirizzi email unici e altri dati collegati: nomi, numeri di telefono, date di nascita, informazioni su esperienze e carriera lavorativa.

I dati sono stati poi messi in vendita da ResumeLooters tramite due account Telegram, utilizzati per commercializzare i dati rubati nei gruppi Telegram di lingua cinese dedicati all’hacking e ai penetration test.

ResumeLooters ha violato la sicurezza dei siti colpiti usando attacchi di tipo ampiamente noto a chi si occupa di cybersecurity. Si è trattato di attacchi di SQL injection e Cross-Site Scripting (XSS), portati avanti sfruttando anche diversi framework per la conduzione di penetration test e strumenti open source. Così il gruppo è riuscito ad iniettare query SQL dannose nei siti-bersaglio ed a carpire dai database un totale di 2.188.444 righe, di cui 510.259 contenenti i dati degli utenti di siti di recruiting.

Colpisce sempre che attacchi così "standard" abbiano tassi di successo costantemente elevati. "È sorprendente notare - conferma Giulio Vada, Regional Sales Director Italy & Iberia presso Group-IB - che alcuni degli attacchi SQL più datati, ma straordinariamente efficaci, siano ancora diffusi nella regione. In questo contesto spicca la tenacia di ResumeLooters, che sperimenta diversi metodi di sfruttamento delle vulnerabilità, tra cui gli attacchi XSS".

ResumeLooters agisce peraltro in maniera diversificata. Oltre agli attacchi di tipo SQL injection, ha eseguito con successo script XSS su almeno quattro siti di recruiting legittimi. Creando un profilo falso di datore di lavoro, gli aggressori hanno potuto impiantare uno script dannoso su uno di questi siti e sono riusciti a carpire il codice HTML delle pagine visitate dalle vittime, compresi gli utenti con accesso amministrativo.

Gli script XSS dannosi avevano anche lo scopo di visualizzare moduli di phishing su risorse legittime. Si ritiene che l’obiettivo principale degli aggressori fosse quello di rubare le credenziali degli amministratori, ma non ci sono prove che questo sia effettivamente successo.