Letztes Jahr fand das britische National Cyber Security Centre (NCSC) eine Variante der Spionage-Malware SparrowDoor in einem unbekannten britischen Netzwerk. Heute wurde eine Analyse der Variante veröffentlicht, die nun unter anderem Daten aus der Zwischenablage stehlen kann. Darüber hinaus wurden Kompromittierungsindikatoren und Yara-Regeln zur Verfügung gestellt, die es Unternehmen ermöglichen, die Malware in ihrem eigenen Netzwerk zu erkennen.
Die erste Version von SparrowDoor wurde vom Antiviren-Unternehmen ESET entdeckt und soll weltweit gegen Hotels sowie gegen Regierungen eingesetzt worden sein. Die Angreifer nutzten Schwachstellen in Microsoft Exchange, Microsoft SharePoint und Oracle Opera, um in Organisationen einzudringen. Betroffen waren unter anderem Organisationen in Kanada, Israel, Frankreich, Saudi-Arabien, Taiwan, Thailand und dem Vereinigten Königreich. Das genaue Ziel der Angreifer gab ESET nicht bekannt.
Das britische NCSC gab an, letztes Jahr eine Variante von SparrowDoor in einem britischen Netzwerk gefunden zu haben. Diese Version kann Daten aus der Zwischenablage stehlen und prüft anhand einer fest codierten Liste, ob bestimmte Antivirensoftware ausgeführt wird. Diese Variante kann auch beim Einrichten von Netzwerkverbindungen das Benutzerkonto-Token nachahmen. Es ist wahrscheinlich, dass dieses „Downgrade“ unauffällig durchgeführt wird, was beispielsweise dann der Fall wäre, wenn Netzwerkkommunikationen unter dem SYSTEM-Konto durchgeführt würden.
Ein weiteres neues Feature ist die Entführung verschiedener Windows API-Funktionen. Es ist nicht klar, wann die Malware „API-Hooking“ und „Token-Impersonation“ verwendet, aber laut dem britischen NCSC treffen die Angreifer bewusste Entscheidungen zur betrieblichen Sicherheit. Nähere Angaben zum angegriffenen Netzwerk oder wer hinter der Schadsoftware steckt, werden nicht gemacht.