Vorig jaar vond het Britse National Cyber Security Centre (NCSC) een variant van de spionagemalware SparrowDoor op een niet bekendgemaakt Brits netwerk. Vandaag verscheen een analyse van de variant, die nu onder meer gegevens van het klembord kan stelen. Daarnaast zijn er compromisindicatoren en Yara-regels beschikbaar gesteld waarmee organisaties de malware binnen hun eigen netwerk kunnen detecteren.
De eerste versie van SparrowDoor is ontdekt door antivirusbedrijf ESET en zou zijn gebruikt tegen hotels over de hele wereld, maar ook tegen overheden. De aanvallers gebruikten kwetsbaarheden in Microsoft Exchange, Microsoft SharePoint en Oracle Opera om in te breken in organisaties. Getroffen organisaties bevonden zich onder meer in Canada, Israël, Frankrijk, Saoedi-Arabië, Taiwan, Thailand en het Verenigd Koninkrijk. ESET heeft het exacte doelwit van de aanvallers niet bekendgemaakt.
Het Britse NCSC zegt vorig jaar een variant van SparrowDoor op een Brits netwerk te hebben gevonden. Deze versie kan gegevens van het klembord stelen en controleert aan de hand van een hardcoded lijst of bepaalde antivirussoftware actief is. Deze variant kan ook het gebruikersaccount-token imiteren bij het opzetten van netwerkverbindingen. Het is waarschijnlijk dat deze "downgrade" onopvallend wordt gedaan, wat het zou kunnen zijn als het netwerkcommunicatie zou uitvoeren onder het SYSTEEM-account, bijvoorbeeld.
Een andere nieuwe functie is het kapen van verschillende Windows API-functies. Het is niet duidelijk wanneer de malware gebruik maakt van “API hooking” en “token imitatie”, maar volgens het Britse NCSC nemen de aanvallers bewuste operationele veiligheidsbeslissingen. Verdere details over het aangevallen netwerk of wie er achter de malware zit, worden niet gegeven.