Anul trecut, Centrul Național de Securitate Cibernetică (NCSC) din Marea Britanie a găsit o variantă a malware-ului spion SparrowDoor într-o rețea nedezvăluită din Marea Britanie. Astăzi a fost publicată o analiză a variantei, care acum poate fura date din clipboard, printre altele. În plus, au fost pusi la dispoziție indicatori de compromis și reguli Yara care permit organizațiilor să detecteze malware-ul în propria lor rețea.
Prima versiune a SparrowDoor a fost descoperită de compania antivirus ESET și se spune că a fost folosită împotriva hotelurilor din întreaga lume, precum și împotriva guvernelor. Atacatorii au folosit vulnerabilități din Microsoft Exchange, Microsoft SharePoint și Oracle Opera pentru a pătrunde în organizații. Organizațiile afectate au fost în Canada, Israel, Franța, Arabia Saudită, Taiwan, Thailanda și Regatul Unit, printre altele. ESET nu a dezvăluit ținta exactă a atacatorilor.
NCSC britanic spune că a găsit o variantă de SparrowDoor pe o rețea britanică anul trecut. Această versiune poate fura date din clipboard și verifică pe o listă codificată dacă rulează un anumit software antivirus. Această variantă poate imita și jetonul de cont de utilizator atunci când se configurează conexiunile la rețea. Este probabil ca acest „downgrade” să fie discret, ceea ce ar putea fi, de exemplu, dacă ar efectua comunicații de rețea sub contul SISTEM.
O altă caracteristică nouă este deturnarea diverselor Windows Funcții API. Nu este clar când malware-ul folosește „agățarea API” și „uzurparea identității”, dar conform NCSC britanic, atacatorii iau decizii conștiente de securitate operațională. Mai multe detalii despre rețeaua atacată sau cine se află în spatele malware-ului nu sunt oferite.