V loňském roce našlo britské Národní centrum kybernetické bezpečnosti (NCSC) variantu špionážního malwaru SparrowDoor v nezveřejněné britské síti. Dnes byl zveřejněn rozbor varianty, která nyní umí mimo jiné krást data ze schránky. Kromě toho byly zpřístupněny indikátory kompromisu a pravidla Yara, která organizacím umožňují detekovat malware v rámci jejich vlastní sítě.
První verzi SparrowDoor objevila antivirová společnost ESET a údajně byla použita proti hotelům po celém světě a také proti vládám. Útočníci využili zranitelnosti v Microsoft Exchange, Microsoft SharePoint a Oracle Opera k proniknutí do organizací. Postižené organizace byly mimo jiné v Kanadě, Izraeli, Francii, Saúdské Arábii, Tchaj-wanu, Thajsku a Spojeném království. Přesný cíl útočníků ESET nezveřejnil.
Britská NCSC tvrdí, že loni našla na britské síti variantu SparrowDoor. Tato verze může krást data ze schránky a podle pevně zakódovaného seznamu kontroluje, zda je spuštěn určitý antivirový software. Tato varianta může také napodobit token uživatelského účtu při nastavování síťových připojení. Je pravděpodobné, že tento „downgrade“ je proveden nenápadně, což by mohlo, pokud by například provádělo síťovou komunikaci pod účtem SYSTEM.
Další novinkou je únos různých Windows API funkce. Není jasné, kdy malware používá „háknutí API“ a „zosobnění tokenu“, ale podle britské NCSC útočníci dělají vědomá provozní bezpečnostní rozhodnutí. Další podrobnosti o napadené síti nebo o tom, kdo stojí za malwarem, nejsou uvedeny.