Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Hackers roban datos de 2M con ataques SQL y XSS

Escrito por Zoilijee Quero | Feb 8, 2024 8:00:00 PM

Recientemente, un ataque cibernético de gran envergadura ha puesto de manifiesto las vulnerabilidades existentes en la protección de la información personal de los usuarios. Este incidente, que afectó a más de 2 millones de individuos, fue llevado a cabo mediante técnicas de inyección SQL y ataques de Cross-Site Scripting (XSS).

 

Entendiendo la Inyección SQL y el XSS

 

Antes de sumergirnos en los detalles del ataque, es fundamental entender qué son la inyección SQL y el XSS.

 

Inyección SQL

 

La inyección SQL es una técnica de ataque que permite a un atacante manipular las consultas de una base de datos. Esto se logra insertando o "inyectando" un código SQL malicioso en los campos de entrada que se procesan por la aplicación. Si la seguridad de la aplicación es insuficiente, este código malintencionado puede ejecutarse, permitiendo al atacante acceder a datos sensibles, modificarlos o incluso eliminarlos.

 

Conoce más sobre:  ¿Cómo Evitar Ataques de Inyecciones SQL?

 

Cross-Site Scripting (XSS)

 

El XSS, por otro lado, es un tipo de vulnerabilidad de seguridad en aplicaciones web que permite a los atacantes inyectar scripts maliciosos en páginas vistas por otros usuarios. Esto puede resultar en el robo de cookies, sesiones, o incluso redirigir a las víctimas a sitios web maliciosos. A diferencia de la inyección SQL, el XSS se enfoca en afectar a los usuarios de la aplicación en lugar de la aplicación en sí o la base de datos subyacente.

 

Conoce más sobre:  Descubriendo los Ataques de Cross-Site Scripting (XSS)

 

El Ataque: Una Combinación Mortal

 

Un grupo de amenazas conocido como 'ResumeLooters' ha llevado a cabo un ciberataque donde se apropiaron de los datos personales de más de dos millones de solicitantes de empleo. Esto ocurrió luego de comprometer la seguridad de 65 sitios web legítimos dedicados a la venta de empleo y comercio minorista, utilizando métodos como la inyección SQL y los scripts entre sitios (XSS).

Los ataques se han dirigido principalmente a la región de Asia-Pacífico (APAC), afectando a sitios web ubicados en países como Australia, Taiwán, China, Tailandia, India y Vietnam. La información robada incluye nombres, direcciones de correo electrónico, números de teléfono, historial laboral, educación y otros datos relevantes de los solicitantes de empleo. En noviembre de 2023, se detectó que los ResumeLooters intentaron comercializar los datos sustraídos a través de canales de Telegram.

 

 

Te podrá interesar:  Descubriendo los canales en Telegram de la Dark Web

 

Al vulnerar sitios web legítimos

 

Mediante la explotación de vulnerabilidades en sitios web legítimos, el grupo conocido como 'ResumeLooters' utiliza principalmente técnicas de inyección SQL y XSS. Principalmente, estos ataques se dirigen a tiendas minoristas y plataformas de búsqueda de empleo.

En su fase de prueba, los ResumeLooters emplean diversas herramientas de código abierto, incluyendo:

  1. SQLmap: Automatiza la detección y explotación de vulnerabilidades de inyección SQL, permitiendo el control de los servidores de bases de datos.

  2. Acunetix: Un escáner de vulnerabilidades web que identifica fallos comunes como la inyección XSS y SQL, proporcionando informes de corrección.

  3. Beef Framework: Explota vulnerabilidades en navegadores web y evalúa la seguridad del objetivo a través de vectores del lado del cliente.

  4. Rayos X: Detecta vulnerabilidades en aplicaciones web, revelando posibles debilidades en su estructura.

  5. Metasploit: Desarrolla y ejecuta código de explotación contra objetivos, también utilizado para evaluaciones de seguridad.

  6. ARL (Asset Reconnaissance Lighthouse): Escanea y mapea activos en línea, identificando vulnerabilidades en la infraestructura de red.

  7. Dirsearch: Una herramienta de línea de comandos para realizar búsquedas de directorios y archivos de forma bruta en aplicaciones web, descubriendo recursos ocultos.

Conoce más sobre:  Metasploit Framework: Herramienta de Seguridad Informática

 

Una vez identificadas y explotadas las debilidades de seguridad en los sitios objetivo, los ResumeLooters inyectan scripts maliciosos en varias partes del HTML del sitio web. Estas inyecciones pueden estar diseñadas para activar el script o simplemente para mostrarlo, dependiendo de la ubicación, como elementos de formulario o etiquetas de anclaje.

En casos exitosos de inyección, se ejecuta un script remoto malicioso que despliega formularios de phishing para capturar la información de los visitantes. Además, se han observado casos en los que los atacantes emplean técnicas personalizadas, como la creación de perfiles de empleadores falsos y la publicación de currículums falsos para alojar scripts XSS.

La falta de medidas de seguridad por parte de los atacantes permitió a terceros infiltrarse en la base de datos que aloja los datos robados, revelando que los atacantes lograron obtener acceso de administrador en algunos de los sitios comprometidos.

Los ResumeLooters llevan a cabo estos ataques con fines lucrativos, intentando vender los datos robados a otros ciberdelincuentes a través de cuentas de Telegram con nombres chinos, como "Penetration Data Center" y "World Data Ali".

Aunque no se ha confirmado explícitamente el origen de los atacantes, las evidencias sugieren una conexión con China debido a la venta de datos en grupos de habla china y el uso de versiones chinas de herramientas como X-Ray.

 

Te podrá interesar leer:  Detección de Ataques de Inyección SQL con Wazuh

 

Conclusión

 

El reciente ataque que comprometió los datos de 2 millones de usuarios a través de inyección SQL y XSS sirve como un recordatorio crítico de la importancia de la ciberseguridad. Tanto desarrolladores como usuarios deben estar constantemente vigilantes y adoptar prácticas de seguridad proactivas para proteger contra estas amenazas omnipresentes. La educación continua, la adopción de mejores prácticas de seguridad y la inversión en herramientas de seguridad adecuadas son fundamentales para construir un entorno digital más seguro para todos.

Este análisis no solo resalta la gravedad y la sofisticación de los ataques cibernéticos modernos, sino que también subraya la necesidad urgente de una mayor conciencia y acción en materia de seguridad en línea. Al entender mejor cómo operan estos ataques y al implementar estrategias de mitigación efectivas, podemos esperar reducir significativamente el riesgo de futuros incidentes y proteger la integridad de nuestros datos personales y corporativos.