Lani je Britanski nacionalni center za kibernetsko varnost (NCSC) odkril različico vohunske zlonamerne programske opreme SparrowDoor v nerazkritem omrežju Združenega kraljestva. Danes je bila objavljena analiza različice, ki lahko zdaj med drugim krade podatke iz odložišča. Poleg tega so bili na voljo kazalniki kompromisa in pravila Yara, ki organizacijam omogočajo odkrivanje zlonamerne programske opreme v svojem omrežju.
Prvo različico SparrowDoor je odkrilo protivirusno podjetje ESET in naj bi bila uporabljena proti hotelom po vsem svetu, pa tudi proti vladam. Napadalci so uporabili ranljivosti v Microsoft Exchange, Microsoft SharePoint in Oracle Opera za vdor v organizacije. Prizadete organizacije so bile med drugim v Kanadi, Izraelu, Franciji, Savdski Arabiji, Tajvanu, na Tajskem in v Združenem kraljestvu. ESET ni razkril natančnega cilja napadalcev.
Britanski NCSC pravi, da je lani našel različico SparrowDoor v britanski mreži. Ta različica lahko ukrade podatke iz odložišča in preveri glede na trdo kodiran seznam, ali se izvaja določena protivirusna programska oprema. Ta različica lahko tudi posnema žeton uporabniškega računa pri nastavljanju omrežnih povezav. Verjetno je, da je ta »downgrade« narejena tako, da ni opazna, kar bi lahko na primer, če bi izvajala omrežno komunikacijo pod SYSTEM računom.
Druga novost je ugrabitev različnih Windows API funkcije. Ni jasno, kdaj zlonamerna programska oprema uporablja »API hooking« in »token impersonation«, vendar po mnenju britanskega NCSC napadalci sprejemajo zavestne operativne varnostne odločitve. Nadaljnje podrobnosti o napadenem omrežju ali o tem, kdo stoji za zlonamerno programsko opremo, niso podane.