No ano passado, o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido encontrou uma variante do malware espião SparrowDoor em uma rede não revelada do Reino Unido. Foi publicada hoje uma análise da variante, que agora pode roubar dados da área de transferência, entre outras coisas. Além disso, foram disponibilizados indicadores de comprometimento e regras da Yara que permitem às organizações detectar o malware em sua própria rede.
A primeira versão do SparrowDoor foi descoberta pela empresa de antivírus ESET e teria sido usada contra hotéis em todo o mundo, bem como contra governos. Os invasores usaram vulnerabilidades no Microsoft Exchange, Microsoft SharePoint e Oracle Opera para invadir organizações. As organizações afetadas estavam no Canadá, Israel, França, Arábia Saudita, Taiwan, Tailândia e Reino Unido, entre outros. A ESET não divulgou o alvo exato dos invasores.
O NCSC britânico afirma ter encontrado uma variante do SparrowDoor em uma rede britânica no ano passado. Esta versão pode roubar dados da área de transferência e verificar em uma lista codificada se determinado software antivírus está em execução. Esta variante também pode imitar o token da conta do usuário ao configurar conexões de rede. É provável que esse “downgrade” seja feito para ser discreto, o que aconteceria se estivesse realizando comunicações de rede na conta SYSTEM, por exemplo.
Outra novidade é o sequestro de vários Windows Funções de API. Não está claro quando o malware usa “API hooking” e “representação de token”, mas de acordo com o NCSC britânico, os invasores estão tomando decisões conscientes de segurança operacional. Mais detalhes sobre a rede atacada ou quem está por trás do malware não são fornecidos.