Миналата година Националният център за киберсигурност на Обединеното кралство (NCSC) откри вариант на шпионски злонамерен софтуер SparrowDoor в неразкрита британска мрежа. Днес беше публикуван анализ на варианта, който, наред с други неща, вече може да краде данни от клипборда. Освен това са предоставени индикатори за компромис и правила на Yara, които позволяват на организациите да откриват злонамерения софтуер в собствената си мрежа.
Първата версия на SparrowDoor е открита от антивирусната компания ESET и се твърди, че е била използвана срещу хотели по целия свят, както и срещу правителства. Нападателите използваха уязвимости в Microsoft Exchange, Microsoft SharePoint и Oracle Opera, за да проникнат в организации. Засегнати организации са в Канада, Израел, Франция, Саудитска Арабия, Тайван, Тайланд и Обединеното кралство, наред с други. ESET не разкри точната цел на нападателите.
Британският NCSC казва, че е намерил вариант на SparrowDoor в британска мрежа миналата година. Тази версия може да открадне данни от клипборда и да проверява в твърдо кодиран списък дали се изпълнява определен антивирусен софтуер. Този вариант може също да имитира токена на потребителския акаунт при настройка на мрежови връзки. Вероятно това „понижаване“ е направено, за да бъде незабележимо, което би могло, ако изпълняваше мрежови комуникации под СИСТЕМНИЯ акаунт, например.
Друга нова функция е отвличането на различни Windows API функции. Не е ясно кога злонамереният софтуер използва „закачване на API“ и „представяне на токени“, но според британския NCSC нападателите вземат съзнателни оперативни решения за сигурност. Не се дават повече подробности за атакуваната мрежа или кой стои зад зловредния софтуер.