Verlede jaar het die Verenigde Koninkryk se National Cyber Security Centre (NCSC) 'n variant van die spioenasie-wanware SparrowDoor op 'n onbekende Britse netwerk gevind. ’n Ontleding van die variant is vandag gepubliseer, wat nou onder meer data van die knipbord kan steel. Daarbenewens is aanwysers van kompromie en Yara-reëls beskikbaar gestel wat organisasies in staat stel om die wanware binne hul eie netwerk op te spoor.
Die eerste weergawe van SparrowDoor is deur die antivirusmaatskappy ESET ontdek en word na bewering teen hotelle wêreldwyd, sowel as teen regerings, gebruik. Die aanvallers het kwesbaarhede in Microsoft Exchange, Microsoft SharePoint en Oracle Opera gebruik om by organisasies in te breek. Organisasies wat geraak word, was onder meer in Kanada, Israel, Frankryk, Saoedi-Arabië, Taiwan, Thailand en die Verenigde Koninkryk. ESET het nie die presiese teiken van die aanvallers bekend gemaak nie.
Die Britse NCSC sê dit het verlede jaar 'n variant van SparrowDoor op 'n Britse netwerk gevind. Hierdie weergawe kan data van die knipbord steel en kontroleer teen 'n hardekodeerde lys of sekere antivirusprogrammatuur loop. Hierdie variant kan ook die gebruikersrekeningtoken naboots wanneer netwerkverbindings opgestel word. Dit is waarskynlik dat hierdie "afgradering" gedoen word om onopvallend te wees, wat dit sou kon doen as dit byvoorbeeld netwerkkommunikasie onder die STELSEL-rekening uitvoer.
Nog 'n nuwe kenmerk is die kaping van verskeie Windows API funksies. Dit is nie duidelik wanneer die wanware gebruik "API hooking" en "token nabootsing", maar volgens die Britse NCSC neem die aanvallers bewuste operasionele sekuriteitsbesluite. Verdere besonderhede oor die aangeval netwerk of wie agter die wanware is, word nie gegee nie.