Pemerintah Inggris menemukan varian baru malware mata-mata SparrowDoor

Tahun lalu, Pusat Keamanan Siber Nasional Inggris (NCSC) menemukan varian malware mata-mata SparrowDoor di jaringan Inggris yang dirahasiakan. Analisis varian diterbitkan hari ini, yang sekarang dapat mencuri data dari clipboard, antara lain. Selain itu, indikator kompromi dan aturan Yara telah tersedia yang memungkinkan organisasi mendeteksi malware di dalam jaringan mereka sendiri.

Versi pertama SparrowDoor ditemukan oleh perusahaan antivirus ESET dan dikatakan telah digunakan terhadap hotel di seluruh dunia, serta terhadap pemerintah. Para penyerang menggunakan kerentanan di Microsoft Exchange, Microsoft SharePoint dan Oracle Opera untuk membobol organisasi. Organisasi yang terkena dampak antara lain di Kanada, Israel, Prancis, Arab Saudi, Taiwan, Thailand, dan Inggris. ESET tidak mengungkapkan target pasti para penyerang.

NCSC Inggris mengatakan telah menemukan varian SparrowDoor di jaringan Inggris tahun lalu. Versi ini dapat mencuri data dari clipboard dan memeriksa daftar hardcoded apakah perangkat lunak antivirus tertentu sedang berjalan. Varian ini juga dapat meniru token akun pengguna saat mengatur koneksi jaringan. Kemungkinan "penurunan versi" ini dilakukan agar tidak mencolok, yang bisa terjadi jika melakukan komunikasi jaringan di bawah akun SISTEM, misalnya.

Fitur baru lainnya adalah pembajakan berbagai Windows fungsi API. Tidak jelas kapan malware menggunakan "API hooking" dan "peniruan identitas token", tetapi menurut NCSC Inggris, penyerang membuat keputusan keamanan operasional secara sadar. Rincian lebih lanjut tentang jaringan yang diserang atau siapa yang berada di balik malware tidak diberikan.