İş arayanlar dikkatli olun; bilgisayar korsanları milyonlarca kurbanın verilerini çalmak için SQL kusurlarından yararlanıyor

[™ Admin]

İş arayanlar dikkatli olun; bilgisayar korsanları milyonlarca kurbanın verilerini çalmak için SQL kusurlarından yararlanıyor

Yeni bir iş arayan milyonlarca insanın kişisel verileri çalındı ve birçok sitenin ihlali sonrasında dark web sohbet gruplarında satışa sunuldu.

Group-IB'den siber güvenlik uzmanları, ResumeLooters adlı nispeten yeni bir tehdit aktörüne yönelik araştırmalarını ve bu örgütün karanlık ağda devasa bir veritabanını nasıl satabildiğini özetleyen yeni bir rapor yayınladı.

ResumeLooters ilk olarak Kasım 2023'te, SQL enjeksiyonu ve siteler arası komut dosyası oluşturma (XSS) olmak üzere iki teknik kullanarak 65 iş ilanı ve perakende sitesini başarıyla ele geçirdiğinde ortaya çıktı. Saldırganlar, SQLmap, Acunetix, X-Ray veya Metasploit gibi araçların yardımıyla web'i kusurlara karşı tarayabiliyor, SQL enjeksiyon kusurlarının tespitini ve bunlardan yararlanılmasını otomatikleştirebiliyor, hedeflere karşı yararlanma kodu geliştirip yürütebiliyor ve daha fazlasını yapabiliyordu.

Para için bu işte

Saldırganlar, sitelerdeki kusurları başarıyla tespit edip kullandıktan sonra, HTML'nin farklı yerlerine kötü amaçlı komut dosyaları yerleştirmeye devam ediyor. Araştırmacılar, bazı enjeksiyonların senaryoyu tetikleyeceğini, bazılarının ise basitçe görüntüleyeceğini açıkladı. Komut dosyasının amacı, ziyaretçilerden hassas verileri çalan bir kimlik avı formu görüntülemektir.

Görünüşe göre kurbanların tam adları, e-posta adresleri, telefon numaraları, çalışma geçmişleri, eğitimleri ve diğer ilgili bilgileri alınmış. Hedefli bir kimlik avı saldırısı ve hatta kimlik hırsızlığı için bol miktarda bilgi. Kurbanların çoğu dünyanın APAC bölgesinde, Avustralya, Tayvan, Çin, Tayland, Hindistan ve Vietnam gibi ülkelerde bulunuyor.

Group-IB, ResumeLooters'ın verileri çaldıktan sonra verileri karanlık ağda satmaya çalıştığını ekledi. Bunu Çince isimli hesapları kullanarak iki Telegram kanalında sundular. Kullandıkları araçların bile Çince olması, araştırmacıları ResumeLooter'ların büyük olasılıkla Çin'den olduğu sonucuna varmaya sevk etti.

Ancak kampanyanın amacı maddi olduğundan devlet destekli görünmüyorlar.

Group-IB Gelişmiş Kalıcı Tehdit Araştırma Ekibi Kıdemli Analisti Nikita Rostovcev, "İki aydan kısa bir süre içinde, Asya-Pasifik bölgesindeki şirketlere SQL enjeksiyon saldırıları düzenleyen başka bir tehdit aktörünü daha tespit ettik" dedi.

“En eski ama son derece etkili SQL saldırılarından bazılarının bölgede hala yaygın olduğunu görmek çarpıcı. Bununla birlikte, ResumeLooters grubunun kararlılığı, XSS saldırıları da dahil olmak üzere güvenlik açıklarından yararlanmaya yönelik çeşitli yöntemleri denedikleri için öne çıkıyor. Ayrıca çetenin saldırıları geniş bir coğrafyayı kapsıyor.”

Kaynak: TechRadar