L'année dernière, le National Cyber Security Center (NCSC) du Royaume-Uni a découvert une variante du logiciel malveillant d'espionnage SparrowDoor sur un réseau britannique non divulgué. Une analyse de la variante a été publiée aujourd'hui, qui peut désormais voler des données du presse-papiers, entre autres. De plus, des indicateurs de compromission et des règles Yara ont été mis à disposition pour permettre aux organisations de détecter les logiciels malveillants au sein de leur propre réseau.
La première version de SparrowDoor a été découverte par la société antivirus ESET et aurait été utilisée contre des hôtels du monde entier, ainsi que contre des gouvernements. Les attaquants ont utilisé les vulnérabilités de Microsoft Exchange, Microsoft SharePoint et Oracle Opera pour s'introduire dans les organisations. Les organisations touchées se trouvaient au Canada, en Israël, en France, en Arabie saoudite, à Taïwan, en Thaïlande et au Royaume-Uni, entre autres. ESET n'a pas révélé la cible exacte des attaquants.
Le NCSC britannique dit avoir trouvé une variante de SparrowDoor sur un réseau britannique l'année dernière. Cette version peut voler des données du presse-papiers et vérifier par rapport à une liste codée en dur si certains logiciels antivirus sont en cours d'exécution. Cette variante peut également imiter le jeton de compte d'utilisateur lors de la configuration des connexions réseau. Il est probable que cette «rétrogradation» soit faite pour être discrète, ce qui pourrait être le cas s'il effectuait des communications réseau sous le compte SYSTEM, par exemple.
Une autre nouveauté est le détournement de divers Windows Fonctions API. Il n'est pas clair quand le logiciel malveillant utilise "l'accrochage d'API" et "l'usurpation de jeton", mais selon le NCSC britannique, les attaquants prennent des décisions conscientes en matière de sécurité opérationnelle. Plus de détails sur le réseau attaqué ou qui est derrière le malware ne sont pas donnés.