Πέρυσι, το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο του Ηνωμένου Βασιλείου (NCSC) βρήκε μια παραλλαγή του κατασκοπευτικού κακόβουλου λογισμικού SparrowDoor σε ένα άγνωστο δίκτυο του Ηνωμένου Βασιλείου. Μια ανάλυση της παραλλαγής δημοσιεύτηκε σήμερα, η οποία μπορεί πλέον να κλέψει δεδομένα από το πρόχειρο, μεταξύ άλλων. Επιπλέον, έχουν διατεθεί δείκτες συμβιβασμού και κανόνες Yara που επιτρέπουν στους οργανισμούς να εντοπίζουν το κακόβουλο λογισμικό στο δικό τους δίκτυο.
Η πρώτη έκδοση του SparrowDoor ανακαλύφθηκε από την εταιρεία προστασίας από ιούς ESET και λέγεται ότι χρησιμοποιήθηκε εναντίον ξενοδοχείων σε όλο τον κόσμο, καθώς και εναντίον κυβερνήσεων. Οι εισβολείς χρησιμοποίησαν ευπάθειες στο Microsoft Exchange, το Microsoft SharePoint και την Oracle Opera για να εισβάλουν σε οργανισμούς. Οι οργανώσεις που επλήγησαν ήταν μεταξύ άλλων στον Καναδά, το Ισραήλ, τη Γαλλία, τη Σαουδική Αραβία, την Ταϊβάν, την Ταϊλάνδη και το Ηνωμένο Βασίλειο. Η ESET δεν αποκάλυψε τον ακριβή στόχο των επιτιθέμενων.
Το βρετανικό NCSC λέει ότι βρήκε μια παραλλαγή του SparrowDoor σε βρετανικό δίκτυο πέρυσι. Αυτή η έκδοση μπορεί να υποκλέψει δεδομένα από το πρόχειρο και να ελέγχει σε μια λίστα με σκληρό κώδικα εάν εκτελείται συγκεκριμένο λογισμικό προστασίας από ιούς. Αυτή η παραλλαγή μπορεί επίσης να μιμηθεί το διακριτικό λογαριασμού χρήστη κατά τη ρύθμιση των συνδέσεων δικτύου. Είναι πιθανό αυτή η "υποβάθμιση" να είναι δυσδιάκριτη, κάτι που θα μπορούσε να γίνει εάν εκτελούσε επικοινωνίες δικτύου με τον λογαριασμό SYSTEM, για παράδειγμα.
Ένα άλλο νέο χαρακτηριστικό είναι η αεροπειρατεία διαφόρων Windows Λειτουργίες API. Δεν είναι σαφές πότε το κακόβουλο λογισμικό χρησιμοποιεί "API hooking" και "token impersonation", αλλά σύμφωνα με το βρετανικό NCSC, οι εισβολείς λαμβάνουν συνειδητές αποφάσεις επιχειρησιακής ασφάλειας. Περαιτέρω λεπτομέρειες σχετικά με το δίκτυο που δέχεται επίθεση ή ποιος βρίσκεται πίσω από το κακόβουλο λογισμικό δεν δίνονται.