Tavaly az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) megtalálta a SparrowDoor kémkártevő egy változatát egy nyilvánosságra nem hozott brit hálózaton. Ma jelent meg a változat elemzése, amely immár többek között adatokat is lophat a vágólapról. Emellett elérhetővé tettek a kompromisszumjelzőket és a Yara-szabályokat, amelyek lehetővé teszik a szervezetek számára, hogy saját hálózatukon belül észleljék a rosszindulatú programokat.
A SparrowDoor első verzióját az ESET vírusirtó cég fedezte fel, és állítólag világszerte szállodák, valamint kormányok ellen használták. A támadók a Microsoft Exchange, a Microsoft SharePoint és az Oracle Opera sebezhetőségeit használták fel, hogy szervezetekbe törjenek be. Az érintett szervezetek többek között Kanadában, Izraelben, Franciaországban, Szaúd-Arábiában, Tajvanon, Thaiföldön és az Egyesült Királyságban voltak. Az ESET nem hozta nyilvánosságra a támadók pontos célpontját.
A brit NCSC azt állítja, hogy tavaly megtalálta a SparrowDoor egy változatát egy brit hálózaton. Ez a verzió képes adatokat lopni a vágólapról, és leellenőrzi, hogy bizonyos víruskereső szoftverek futnak-e egy kódolt listán. Ez a változat a felhasználói fiók tokent is képes utánozni a hálózati kapcsolatok beállításakor. Valószínű, hogy ez a „visszaminősítés” nem feltűnő, ami megtörténhet, ha például a SYSTEM fiók alatt végez hálózati kommunikációt.
Egy másik újdonság a különféle eszközök eltérítése Windows API függvények. Nem világos, hogy a kártevő mikor alkalmaz „API hookingot” és „token megszemélyesítést”, de a brit NCSC szerint a támadók tudatos működésbiztonsági döntéseket hoznak. A megtámadott hálózatról vagy arról, hogy ki áll a kártevő mögött, további részleteket nem közölnek.