O ano pasado, o National Cyber Security Center (NCSC) do Reino Unido atopou unha variante do malware espía SparrowDoor nunha rede non revelada do Reino Unido. Hoxe publicouse unha análise da variante, que agora pode roubar datos do portapapeis, entre outras cousas. Ademais, puxéronse a disposición indicadores de compromiso e regras de Yara que permiten ás organizacións detectar o malware dentro da súa propia rede.
A primeira versión de SparrowDoor foi descuberta pola empresa de antivirus ESET e dise que se utilizou contra hoteis de todo o mundo, así como contra gobernos. Os atacantes utilizaron vulnerabilidades en Microsoft Exchange, Microsoft SharePoint e Oracle Opera para entrar nas organizacións. As organizacións afectadas estiveron en Canadá, Israel, Francia, Arabia Saudita, Taiwán, Tailandia e Reino Unido, entre outros. ESET non revelou o obxectivo exacto dos atacantes.
O NCSC británico di que atopou unha variante de SparrowDoor nunha rede británica o ano pasado. Esta versión pode roubar datos do portapapeis e comprobar cunha lista codificada se se está a executar determinado software antivirus. Esta variante tamén pode imitar o token da conta de usuario ao configurar as conexións de rede. É probable que esta "reducción" se faga de xeito discreto, o que podería facerse se realizase comunicacións de rede baixo a conta SYSTEM, por exemplo.
Outra característica nova é o secuestro de varios Windows Funcións da API. Non está claro cando o malware usa "enganche de API" e "suplantación de tokens", pero segundo o NCSC británico, os atacantes están tomando decisións conscientes de seguridade operativa. Non se dan máis detalles sobre a rede atacada ou quen está detrás do malware.