Prošle godine, britanski Nacionalni centar za sajber sigurnost (NCSC) pronašao je varijantu špijunskog zlonamjernog softvera SparrowDoor na neotkrivenoj britanskoj mreži. Danas je objavljena analiza varijante koja sada između ostalog može ukrasti podatke iz međuspremnika. Osim toga, dostupni su indikatori kompromisa i Yara pravila koja omogućavaju organizacijama da otkriju zlonamjerni softver unutar svoje mreže.
Prvu verziju SparrowDoor-a otkrila je antivirusna kompanija ESET i navodno je korištena protiv hotela širom svijeta, kao i protiv vlada. Napadači su koristili ranjivosti u Microsoft Exchange-u, Microsoft SharePoint-u i Oracle Opera-u kako bi provalili u organizacije. Pogođene organizacije bile su u Kanadi, Izraelu, Francuskoj, Saudijskoj Arabiji, Tajvanu, Tajlandu i Ujedinjenom Kraljevstvu, između ostalih. ESET nije otkrio tačnu metu napadača.
Britanski NCSC kaže da je prošle godine pronašao varijantu SparrowDoor-a na britanskoj mreži. Ova verzija može ukrasti podatke iz međuspremnika i provjerava na tvrdo kodiranoj listi da li je pokrenut određeni antivirusni softver. Ova varijanta također može imitirati token korisničkog računa prilikom postavljanja mrežnih veza. Vjerovatno je da je ovo “downgrade” učinjeno da bude neprimjetno, što bi i moglo da obavlja mrežnu komunikaciju pod SYSTEM nalogom, na primjer.
Još jedna novost je otmica raznih Windows API funkcije. Nije jasno kada zlonamjerni softver koristi “API hooking” i “token impersonation”, ali prema britanskom NCSC-u, napadači donose svjesne operativne sigurnosne odluke. Daljnji detalji o napadnutoj mreži ili ko stoji iza malvera nisu dati.