Spyder Loader

Uma nova ferramenta de malware foi implantada como parte das operações de ataque ainda ativas rastreadas como CuckooBees. A ameaça prejudicial é conhecida como Spyder Loader e possui recursos de coleta de dados. Deve-se notar que o Spyder Loader foi usado no passado por operações associadas ao APT41 (Winnti, Barium, Wicked Panda e Bronze Atlas), mas foi uma adição posterior especificamente ao CuckooBees. Detalhes sobre a ameaça e a campanha de ataque foram fornecidos em um relatório de pesquisadores de segurança.

O grupo de cibercriminosos APT41 é considerado um dos mais antigos, pois acredita-se que esteja em operação desde pelo menos 2007. Também é um dos grupos de ameaças APT (Advanced Persistent Threat) mais ativos, com inúmeras campanhas de ataque ao longo do anos. Quanto ao CuckooBee, a operação está voando principalmente sob o radar desde pelo menos 2019, e parece ter como alvo principalmente entidades escolhidas de Hong Kong.

Detalhes sobre o Spyder Loader

Segundo os pesquisadores, o Spyder Loader é uma ameaça modular sofisticada. Além disso, a ameaça passou por várias atualizações e continua sendo aprimorada pelos hackers. O principal objetivo da ameaça é coletar e depois exfiltrar dados confidenciais. Os três principais tipos de dados que interessam aos cibercriminosos são as credenciais da organização violada, dados de clientes e informações sobre sua arquitetura de rede.

O Spyder Loader está equipado com várias técnicas para impedir a análise, como usar o algoritmo ChaCha20 para criptografar e ofuscar suas strings. Além disso, a ameaça pode ser instruída a excluir o arquivo 'wlbsctrl.dll' da carga útil e remover artefatos adicionais que possam revelar suas ações ou presença no dispositivo.