Brita registaro malkovras novan varianton de spiona malware SparrowDoor

Pasintjare, la Nacia Ciber-Sekureco-Centro (NCSC) de Britio trovis varianton de la spiona malware SparrowDoor en nekonita brita reto. Analizo de la varianto estis publikigita hodiaŭ, kiu nun povas ŝteli datumojn el la tondujo, interalie. Krome, indikiloj de kompromiso kaj Yara-reguloj estis disponigitaj, kiuj permesas al organizoj detekti la malware ene de sia propra reto.

La unua versio de SparrowDoor estis malkovrita de kontraŭvirusa kompanio ESET kaj laŭdire estis uzata kontraŭ hoteloj tutmonde, same kiel kontraŭ registaroj. La atakantoj uzis vundeblecojn en Microsoft Exchange, Microsoft SharePoint kaj Oracle Opera por eniri organizojn. Trafitaj organizoj estis en Kanado, Israelo, Francio, Saud-Arabio, Tajvano, Tajlando kaj Britio, inter aliaj. ESET ne malkaŝis la precizan celon de la atakantoj.

La brita NCSC diras, ke ĝi trovis varianton de SparrowDoor en brita reto pasintjare. Ĉi tiu versio povas ŝteli datumojn de la tondujo kaj kontrolas kontraŭ fikskodita listo ĉu certa antivirusa programaro funkcias. Ĉi tiu varianto ankaŭ povas imiti la uzantkonton-ĵetonon dum agordado de retaj konektoj. Verŝajnas, ke ĉi tiu "malaltiĝo" estas farita por esti nerimarkebla, kion ĝi povus se ĝi farus retajn komunikadojn sub la SYSTEM-konto, ekzemple.

Alia nova funkcio estas la forkaptado de diversaj Windows API-funkcioj. Ne estas klare, kiam la malware uzas "API-hokadon" kaj "ĵeton-imitaĵon", sed laŭ la brita NCSC, la atakantoj faras konsciajn operaciajn sekurecdecidojn. Pliaj detaloj pri la atakita reto aŭ kiu estas malantaŭ la malware ne estas donitaj.