Chargeur Spyder

Un nouvel outil malveillant a été observé pour être déployé dans le cadre des opérations d'attaque toujours actives suivies sous le nom de CuckooBees. La menace blessante est connue sous le nom de Spyder Loader et possède des capacités de collecte de données. Il convient de noter que le Spyder Loader a été utilisé dans le passé par des opérations associées à l' APT41 (Winnti, Barium, Wicked Panda et Bronze Atlas), mais c'était un ajout ultérieur à CuckooBees spécifiquement. Des détails sur la menace et la campagne d'attaque ont été fournis dans un rapport de chercheurs en sécurité.

Le groupe cybercriminel APT41 est considéré comme l'un des plus anciens, car il serait en activité depuis au moins 2007. Il est également l'un des groupes de menaces APT (Advanced Persistent Threat) les plus actifs, avec de nombreuses campagnes d'attaques au cours de la années. Quant à CuckooBee, l'opération vole principalement sous le radar depuis au moins 2019, et elle semble cibler principalement des entités choisies basées à Hong Kong.

Les détails du chargeur Spyder

Selon les chercheurs, le Spyder Loader est une menace modulaire sophistiquée. En plus de cela, la menace a vu plusieurs mises à jour et continue d'être améliorée par les pirates. L'objectif principal de la menace est de récolter puis d'exfiltrer des données sensibles. Les trois principaux types de données qui intéressent les cybercriminels sont les informations d'identification de l'organisation piratée, les données client et les informations sur son architecture réseau.

Le Spyder Loader est équipé de plusieurs techniques pour empêcher l'analyse, comme l'utilisation de l'algorithme ChaCha20 pour chiffrer et masquer ses chaînes. En outre, la menace peut être invitée à supprimer le fichier de charge utile « wlbsctrl.dll » et à supprimer les artefacts supplémentaires qui pourraient révéler ses actions ou sa présence sur l'appareil.