В прошлом году Национальный центр кибербезопасности Великобритании (NCSC) обнаружил вариант шпионского вредоносного ПО SparrowDoor в неизвестной британской сети. Сегодня был опубликован анализ варианта, который, помимо прочего, теперь может воровать данные из буфера обмена. Кроме того, стали доступны индикаторы компрометации и правила Yara, которые позволяют организациям обнаруживать вредоносное ПО в собственной сети.
Первая версия SparrowDoor была обнаружена антивирусной компанией ESET и, как говорят, использовалась против отелей по всему миру, а также против правительств. Злоумышленники использовали уязвимости в Microsoft Exchange, Microsoft SharePoint и Oracle Opera для проникновения в организации. Пострадавшие организации находились в Канаде, Израиле, Франции, Саудовской Аравии, Тайване, Таиланде и Великобритании. ESET не раскрыла точную цель злоумышленников.
Британский NCSC сообщает, что в прошлом году обнаружил вариант SparrowDoor в британской сети. Эта версия может похищать данные из буфера обмена и проверять по жестко запрограммированному списку, запущено ли определенное антивирусное программное обеспечение. Этот вариант также может имитировать токен учетной записи пользователя при настройке сетевых подключений. Вполне вероятно, что это «понижение» сделано для того, чтобы быть незаметным, что было бы возможно, если бы он выполнял сетевые подключения, например, под учетной записью SYSTEM.
Еще одной новой функцией является захват различных Windows Функции API. Неясно, когда вредоносное ПО использует «перехват API» и «имперсонацию токенов», но, по данным британского NCSC, злоумышленники принимают сознательные оперативные решения по обеспечению безопасности. Более подробная информация об атакованной сети или о том, кто стоит за вредоносной программой, не сообщается.