У мінулым годзе Нацыянальны цэнтр кібербяспекі Вялікабрытаніі (NCSC) знайшоў варыянт шпіёнскай шкоднаснай праграмы SparrowDoor у нераскрытай сетцы Вялікабрытаніі. Сёння быў апублікаваны аналіз варыянта, які, між іншым, цяпер можа красці дадзеныя з буфера абмену. Акрамя таго, былі даступныя індыкатары кампрамісу і правілы Yara, якія дазваляюць арганізацыям выяўляць шкоднаснае праграмнае забеспячэнне ў сваёй сетцы.
Першая версія SparrowDoor была выяўлена антывіруснай кампаніяй ESET і, як кажуць, выкарыстоўвалася супраць гатэляў па ўсім свеце, а таксама супраць урадаў. Зламыснікі выкарыстоўвалі ўразлівасці ў Microsoft Exchange, Microsoft SharePoint і Oracle Opera для пранікнення ў арганізацыі. Арганізацыі, пацярпелыя, сярод іншых, былі ў Канадзе, Ізраілі, Францыі, Саудаўскай Аравіі, Тайвані, Тайландзе і Вялікабрытаніі. ESET не раскрывае дакладную мэту зламыснікаў.
Брытанскі NCSC кажа, што ў мінулым годзе знайшоў варыянт SparrowDoor у брытанскай сетцы. Гэтая версія можа красці даныя з буфера абмену і правяраць па цвёрда закодаваным спісе, ці працуе пэўнае антывіруснае праграмнае забеспячэнне. Гэты варыянт таксама можа імітаваць токен ўліковага запісу карыстальніка пры наладзе сеткавых злучэнняў. Верагодна, што гэта «паніжэнне» зроблена, каб быць непрыкметным, што магло б быць, калі б ён выконваў сеткавую сувязь, напрыклад, пад уліковым запісам SYSTEM.
Яшчэ адна новая функцыя - захоп розных Windows Функцыі API. Незразумела, калі шкоднаснае праграмнае забеспячэнне выкарыстоўвае «падключэнне API» і «імітацыю токена», але, па дадзеных брытанскага NCSC, зламыснікі прымаюць свядомыя рашэнні па бяспецы. Дадатковыя падрабязнасці аб атакаванай сеткі або аб тым, хто стаіць за шкоднасным праграмным забеспячэннем, не паведамляюцца.