ResumeLooters - Mối đe dọa mới từ lừa đảo việc làm

Tại khu vực Đông Nam Á, lừa đảo việc làm không chỉ là một vấn đề nghiêm trọng mà còn liên quan đến tội phạm buôn người.

Trong khi lừa đảo việc làm ở thực tế đã diễn ra trong vài năm qua, thì lừa đảo việc làm trực tuyến đang trở nên ngày càng phổ biến. Thời gian qua, các báo cáo cho thấy, nhiều người trong và ngoài khu vực đã quyết định đi làm việc tại các quốc gia khác theo lời dụ dỗ “việc nhẹ, lương cao” của những kẻ buôn người. Dù vậy, khi tới nơi, họ mới vỡ mộng vì “việc nhẹ, lương cao” không thấy, ngược lại bị lạm dụng, ngược đãi và ép buộc phải tham gia dụ dỗ người khác vào các trò lừa đảo qua mạng.

Mặc dù một số trang web tìm việc đã cải thiện chất lượng thông tin quảng cáo, nhiều trang web việc làm vẫn chứa các quảng cáo việc làm giả mạo. Các nền tảng truyền thông xã hội như LinkedIn cũng đang nỗ lực phát hiện và chặn những #FakeJobs này.

ResumeLooters - Mối đe dọa mới từ lừa đảo việc làm

Mới đây, Group-IB đã xác định một chiến dịch độc hại quy mô lớn chủ yếu nhắm vào các trang web tìm kiếm việc làm và bán lẻ ở khu vực châu Á - Thái Bình Dương.

Nhóm này được đơn vị Tình báo về các Mối đe dọa (Threat Intelligence) của Group-IB đặt tên là ResumeLooters, đã lây nhiễm thành công ít nhất 65 trang web trong khoảng thời gian từ tháng 11 đến tháng 12/2023 thông qua các cuộc tấn công SQL injection (một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp) và tấn công XSS (một hình thức tấn công bằng mã độc phổ biến, các hacker sẽ lợi dụng lỗ hổng trong bảo mật web để chèn các mã script, sau đó gửi cho người dùng để truy cập và mạo danh người dùng).

Ngoài khả năng lộ dữ liệu cá nhân, các nhóm tin tặc tấn công có chủ đích khác có thể sử dụng thông tin này để nhắm mục tiêu vào các cá nhân cụ thể. Chẳng hạn như, nhóm Lazarus đã thực hiện chiến dịch Dreamjob khét tiếng, nhắm đến hàng trăm người tìm việc trên toàn thế giới với các đề xuất việc làm giả mạo, đồng thời đánh cắp thông tin cá nhân và thông tin đăng nhập.

Theo báo cáo, ResumeLooters đã đánh cắp cơ sở dữ liệu chứa 2.079.027 email và các thông tin cá nhân khác như tên, số điện thoại, ngày sinh, cũng như thông tin về kinh nghiệm và quá trình làm việc của người tìm việc. Dữ liệu này sau đó được ResumeLooters rao bán trên các kênh Telegram. Group-IB đã thông báo cho các nạn nhân được xác định để họ có thể thực hiện các biện pháp cần thiết nhằm giảm thiểu thiệt hại.

ResumeLooters là một nhóm đe dọa chỉ mới bắt đầu hoạt động khoảng 1 năm trước. Nhóm đã sử dụng một số khung thử nghiệm thâm nhập và các công cụ nguồn mở như sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL và Dirsearch. Điều này cho phép nhóm tội phạm mạng đưa các truy vấn SQL độc hại vào 65 trang web tìm kiếm việc làm, bán lẻ và các trang web khác, đồng thời truy xuất tổng cộng 2.188.444 dòng dữ liệu, trong đó 510.259 là dữ liệu người dùng từ các trang web tìm việc làm.

Đáng chú ý, hầu hết các nạn nhân mà ResumeLooters nhắm đến là ở khu vực châu Á - Thái Bình Dương như Ấn Độ, Đài Loan, Thái Lan, Việt Nam, Trung Quốc, Úc, Philippines, Hàn Quốc và Nhật Bản. Những nạn nhân ở ngoài khu vực bao gồm Brazil, Mỹ, Thổ Nhĩ Kỳ, Nga, Mexico và Ý.

Báo cáo của Group-IB cũng chỉ ra rằng có hai tài khoản Telegram đã được xác định có liên quan đến ResumeLooters. Cả hai tài khoản được sử dụng để cung cấp dữ liệu bị đánh cắp bán trong các nhóm Telegram nói tiếng Trung Quốc chuyên về hack và thử nghiệm thâm nhập.

Nikita Rostovcev, chuyên viên phân tích cấp cao của Nhóm nghiên cứu mối đe dọa liên tục nâng cao, Group-IB, cho biết: “Trong chưa đầy 2 tháng, chúng tôi đã xác định được một nhóm đe dọa khác thực hiện các cuộc tấn công SQL injection đối với các công ty ở khu vực châu Á - Thái Bình Dương”.

“Điều đáng chú ý là chúng tôi đã nhận thấy rằng, có một số cuộc tấn công SQL cũ nhưng vẫn đặc biệt hiệu quả trong khu vực. Tuy nhiên, nổi bật nhất là nhóm ResumeLooters khi họ thử nghiệm nhiều phương pháp khai thác lỗ hổng khác nhau, bao gồm cả các cuộc tấn công XSS. Ngoài ra, các cuộc tấn công của băng nhóm này bao trùm một khu vực địa lý rộng lớn”, Nikita Rostovcev nhấn mạnh.

Ngoài ResumeLooters, Group-IB cũng đưa ra báo cáo về GambleForce vào tháng 12/2023. Nhóm đe dọa mạng này đã thực hiện hơn 20 cuộc tấn công SQL injection vào các trang web cá cược và chính phủ trong khu vực.

Khác với GambleForce, tập trung chủ yếu vào SQL injection, ResumeLooters tập trung vào nhiều phương thức, hoạt động đa dạng hơn. Ngoài các cuộc tấn công SQL injection, chúng đã thực hiện thành công các đoạn mã độc XSS trên ít nhất 4 trang web tìm kiếm việc làm chính thống. Trên một trong những trang web này, những kẻ tấn công đã cài đặt một đoạn mã độc hại bằng cách tạo một hồ sơ nhà tuyển dụng giả mạo.

Nhờ đó, những kẻ tấn công có thể đánh cắp mã HTML của các trang web mà nạn nhân đã truy cập, bao gồm cả những trang có quyền truy cập quản trị. Các đoạn mã XSS độc hại cũng được dùng để hiển thị các biểu mẫu lừa đảo trên các nguồn tài nguyên chính thống. Mục tiêu chính của nhóm này có vẻ là đánh cắp thông tin đăng nhập của quản trị viên, mặc dù đến nay vẫn chưa có bằng chứng cụ thể về việc đánh cắp thành công.

Bảo vệ cơ sở dữ liệu SQL

Để bảo vệ cơ sở dữ liệu SQL, các doanh nghiệp được khuyến nghị sử dụng các câu lệnh được tham số hóa hoặc chuẩn bị sẵn thay vì nối trực tiếp dữ liệu người dùng vào các truy vấn SQL.

Group-IB cho rằng điều cần thiết là phải triển khai quá trình xác thực và dọn dẹp đầu vào toàn diện ở cả phía máy khách và máy chủ. Công ty an ninh mạng cũng khuyến nghị các doanh nghiệp thực hiện đánh giá bảo mật thường xuyên để xác định và giảm thiểu các lỗ hổng SQL injection./.