W zeszłym roku brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) znalazło wariant złośliwego oprogramowania szpiegującego SparrowDoor w nieujawnionej sieci w Wielkiej Brytanii. Dziś opublikowano analizę wariantu, który może teraz m.in. kraść dane ze schowka. Ponadto udostępniono wskaźniki włamania i reguły Yara, które umożliwiają organizacjom wykrywanie złośliwego oprogramowania w ich własnej sieci.
Pierwsza wersja SparrowDoor została wykryta przez firmę antywirusową ESET i podobno została użyta przeciwko hotelom na całym świecie, a także przeciwko rządom. Osoby atakujące wykorzystały luki w Microsoft Exchange, Microsoft SharePoint i Oracle Opera, aby włamać się do organizacji. Dotknięte organizacje znajdowały się m.in. w Kanadzie, Izraelu, Francji, Arabii Saudyjskiej, Tajwanie, Tajlandii i Wielkiej Brytanii. ESET nie ujawnił dokładnego celu atakujących.
Brytyjski NCSC twierdzi, że w zeszłym roku znalazł wariant SparrowDoor w brytyjskiej sieci. Ta wersja może kraść dane ze schowka i sprawdza na zakodowanej na stałe liście, czy działa określone oprogramowanie antywirusowe. Ten wariant może również imitować token konta użytkownika podczas konfigurowania połączeń sieciowych. Jest prawdopodobne, że ta „obniżona wersja” jest niepozorna, co mogłoby się zdarzyć, gdyby na przykład wykonywała komunikację sieciową na koncie SYSTEM.
Kolejną nową funkcją jest przejmowanie różnych Windows Funkcje API. Nie jest jasne, kiedy złośliwe oprogramowanie wykorzystuje „przechwytywanie API” i „podszywanie się pod token”, ale według brytyjskiego NCSC napastnicy podejmują świadome decyzje dotyczące bezpieczeństwa operacyjnego. Dalsze szczegóły dotyczące zaatakowanej sieci lub osoby stojącej za złośliwym oprogramowaniem nie są podane.