I fjor fant Storbritannias National Cyber Security Center (NCSC) en variant av spion-malwaren SparrowDoor på et ikke avslørt britisk nettverk. I dag ble det publisert en analyse av varianten, som nå blant annet kan stjele data fra utklippstavlen. I tillegg har indikatorer på kompromiss og Yara-regler blitt gjort tilgjengelig som lar organisasjoner oppdage skadelig programvare i sitt eget nettverk.
Den første versjonen av SparrowDoor ble oppdaget av antivirusselskapet ESET og sies å ha blitt brukt mot hoteller over hele verden, så vel som mot myndigheter. Angriperne brukte sårbarheter i Microsoft Exchange, Microsoft SharePoint og Oracle Opera for å bryte seg inn i organisasjoner. Berørte organisasjoner var blant annet i Canada, Israel, Frankrike, Saudi-Arabia, Taiwan, Thailand og Storbritannia. ESET avslørte ikke det nøyaktige målet for angriperne.
Det britiske NCSC sier de fant en variant av SparrowDoor på et britisk nettverk i fjor. Denne versjonen kan stjele data fra utklippstavlen og sjekker mot en hardkodet liste om viss antivirusprogramvare kjører. Denne varianten kan også imitere brukerkontotokenet når du setter opp nettverkstilkoblinger. Det er sannsynlig at denne "nedgraderingen" er gjort for å være lite iøynefallende, noe den kunne hvis den for eksempel utførte nettverkskommunikasjon under SYSTEM-kontoen.
En annen ny funksjon er kapring av ulike Windows API-funksjoner. Det er ikke klart når skadevaren bruker "API hooking" og "token impersonation", men ifølge britiske NCSC tar angriperne bevisste operasjonelle sikkerhetsbeslutninger. Ytterligere detaljer om det angrepne nettverket eller hvem som står bak skadevare er ikke gitt.