L'anno scorso, il National Cyber Security Center (NCSC) del Regno Unito ha trovato una variante del malware spia SparrowDoor su una rete britannica sconosciuta. Oggi è stata pubblicata un'analisi della variante, che ora può rubare dati dagli appunti, tra le altre cose. Inoltre, sono stati resi disponibili indicatori di compromissione e regole Yara che consentono alle organizzazioni di rilevare il malware all'interno della propria rete.
La prima versione di SparrowDoor è stata scoperta dalla società di antivirus ESET e si dice che sia stata utilizzata contro gli hotel di tutto il mondo e contro i governi. Gli aggressori hanno sfruttato le vulnerabilità di Microsoft Exchange, Microsoft SharePoint e Oracle Opera per entrare nelle organizzazioni. Le organizzazioni interessate erano, tra le altre, in Canada, Israele, Francia, Arabia Saudita, Taiwan, Tailandia e Regno Unito. ESET non ha rivelato l'obiettivo esatto degli aggressori.
L'NCSC britannico afferma di aver trovato una variante di SparrowDoor su una rete britannica l'anno scorso. Questa versione può rubare dati dagli appunti e verificare se un determinato software antivirus è in esecuzione su un elenco codificato. Questa variante può anche imitare il token dell'account utente durante l'impostazione delle connessioni di rete. È probabile che questo "downgrade" non sia appariscente, cosa che potrebbe fare se, ad esempio, eseguisse comunicazioni di rete con l'account SYSTEM.
Un'altra novità è il dirottamento di vari Windows Funzioni API. Non è chiaro quando il malware utilizzi "API hooking" e "token impersonation", ma secondo l'NCSC britannico, gli aggressori stanno prendendo decisioni consapevoli sulla sicurezza operativa. Non vengono forniti ulteriori dettagli sulla rete attaccata o su chi c'è dietro il malware.