Încărcător Spyder

S-a observat că un nou instrument malware este implementat ca parte a operațiunilor de atac încă active urmărite ca CuckooBees. Amenințarea dăunătoare este cunoscută sub numele de Spyder Loader și are capabilități de colectare a datelor. Trebuie remarcat faptul că încărcătorul Spyder a fost folosit în trecut de operațiunile asociate cu APT41 (Winnti, Barium, Wicked Panda și Bronze Atlas), dar a fost o adăugare ulterioară la CuckooBees în mod specific. Detalii despre amenințare și campania de atac au fost furnizate într-un raport al cercetătorilor de securitate.

Grupul de criminali cibernetici APT41 este considerat a fi unul dintre cele mai vechi, deoarece se crede că funcționează cel puțin din 2007. De asemenea, este unul dintre cele mai active grupuri de amenințări APT (Advanced Persistent Threat), cu numeroase campanii de atac ani. În ceea ce privește CuckooBee, operațiunea a zburat în mare parte sub radar din 2019 și pare să vizeze în primul rând entitățile alese din Hong Kong.

Detalii despre încărcătorul Spyder

Potrivit cercetătorilor, Spyder Loader este o amenințare modulară sofisticată. În plus, amenințarea a cunoscut mai multe actualizări și continuă să fie îmbunătățită de hackeri. Scopul principal al amenințării este recoltarea și apoi exfiltrarea datelor sensibile. Cele trei tipuri principale de date care îi interesează pe infractorii cibernetici sunt acreditările organizației încălcate, datele clienților și informațiile despre arhitectura sa de rețea.

Spyder Loader este echipat cu mai multe tehnici pentru a preveni analiza, cum ar fi folosirea algoritmului ChaCha20 pentru a cripta și a ofusca șirurile sale. În plus, amenințarea poate fi instruită să ștergă fișierul de sarcină utilă „wlbsctrl.dll” și să elimine artefacte suplimentare care ar putea dezvălui acțiunile sale sau prezența pe dispozitiv.