El año pasado, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido encontró una variante del malware espía SparrowDoor en una red británica no revelada. Hoy se publicó un análisis de la variante, que ahora puede robar datos del portapapeles, entre otras cosas. Además, se han puesto a disposición indicadores de compromiso y reglas de Yara que permiten a las organizaciones detectar el malware dentro de su propia red.
La primera versión de SparrowDoor fue descubierta por la compañía de antivirus ESET y se dice que se usó contra hoteles en todo el mundo, así como contra gobiernos. Los atacantes utilizaron vulnerabilidades en Microsoft Exchange, Microsoft SharePoint y Oracle Opera para ingresar a las organizaciones. Las organizaciones afectadas estaban en Canadá, Israel, Francia, Arabia Saudita, Taiwán, Tailandia y el Reino Unido, entre otros. ESET no reveló el objetivo exacto de los atacantes.
El NCSC británico dice que encontró una variante de SparrowDoor en una red británica el año pasado. Esta versión puede robar datos del portapapeles y verificar con una lista codificada si se está ejecutando cierto software antivirus. Esta variante también puede imitar el token de la cuenta de usuario al configurar conexiones de red. Es probable que esta "rebaja" se haga para pasar desapercibida, lo que podría ocurrir si estuviera realizando comunicaciones de red bajo la cuenta SYSTEM, por ejemplo.
Otra característica nueva es el secuestro de varios Windows Funciones API. No está claro cuándo el malware usa "enganche de API" y "suplantación de token", pero según el NCSC británico, los atacantes están tomando decisiones conscientes de seguridad operativa. No se dan más detalles sobre la red atacada o quién está detrás del malware.