Sidste år fandt Storbritanniens National Cyber Security Center (NCSC) en variant af spion-malwaren SparrowDoor på et ukendt britisk netværk. Der blev i dag offentliggjort en analyse af varianten, som nu blandt andet kan stjæle data fra klippebordet. Derudover er indikatorer for kompromis og Yara-regler blevet gjort tilgængelige, som gør det muligt for organisationer at opdage malwaren i deres eget netværk.
Den første version af SparrowDoor blev opdaget af antivirusfirmaet ESET og siges at være blevet brugt mod hoteller verden over, såvel som mod regeringer. Angriberne brugte sårbarheder i Microsoft Exchange, Microsoft SharePoint og Oracle Opera til at bryde ind i organisationer. Berørte organisationer var blandt andet i Canada, Israel, Frankrig, Saudi-Arabien, Taiwan, Thailand og Storbritannien. ESET afslørede ikke det nøjagtige mål for angriberne.
Det britiske NCSC siger, at det fandt en variant af SparrowDoor på et britisk netværk sidste år. Denne version kan stjæle data fra udklipsholderen og kontrollerer mod en hårdkodet liste, om visse antivirussoftware kører. Denne variant kan også efterligne brugerkontotokenet, når du opsætter netværksforbindelser. Det er sandsynligt, at denne "nedgradering" er gjort for at være iøjnefaldende, hvilket den kunne, hvis den for eksempel udførte netværkskommunikation under SYSTEM-kontoen.
En anden ny funktion er kapringen af forskellige Windows API funktioner. Det er ikke klart, hvornår malwaren bruger "API hooking" og "token impersonation", men ifølge det britiske NCSC træffer angriberne bevidste operationelle sikkerhedsbeslutninger. Yderligere detaljer om det angrebne netværk eller hvem der står bag malwaren er ikke givet.