Caricatore Spyder

È stato osservato che un nuovo strumento malware è stato implementato come parte delle operazioni di attacco ancora attive tracciate come CuckooBees. La minaccia dannosa è nota come Spyder Loader e offre capacità di raccolta dati. Va notato che lo Spyder Loader è stato utilizzato in passato da operazioni associate all'APT41 (Winnti, Barium, Wicked Panda e Bronze Atlas), ma è stata un'aggiunta successiva a CuckooBees in particolare. I dettagli sulla minaccia e sulla campagna di attacco sono stati forniti in un rapporto dai ricercatori di sicurezza.

Il gruppo di criminali informatici APT41 è considerato uno dei più antichi, poiché si ritiene che sia operativo almeno dal 2007. È anche uno dei gruppi di minacce APT (Advanced Persistent Threat) più attivi, con numerose campagne di attacco sul anni. Per quanto riguarda CuckooBee, l'operazione vola per lo più sotto il radar almeno dal 2019 e sembra prendere di mira principalmente entità scelte con sede a Hong Kong.

I dettagli del caricatore Spyder

Secondo i ricercatori, Spyder Loader è una sofisticata minaccia modulare. Inoltre, la minaccia ha visto più aggiornamenti e continua a essere migliorata dagli hacker. L'obiettivo principale della minaccia è raccogliere e quindi esfiltrare i dati sensibili. I tre principali tipi di dati che interessano i criminali informatici sono le credenziali dell'organizzazione violata, i dati dei clienti e le informazioni sulla sua architettura di rete.

Spyder Loader è dotato di molteplici tecniche per impedire l'analisi, come l'utilizzo dell'algoritmo ChaCha20 per crittografare e offuscare le sue stringhe. Inoltre, alla minaccia può essere richiesto di eliminare il file "wlbsctrl.dll" del payload e rimuovere elementi aggiuntivi che potrebbero rivelarne le azioni o la presenza sul dispositivo.