Pamaréntah Inggris mendakan varian anyar spy malware SparrowDoor

Taun ka tukang, Pusat Kaamanan Siber Nasional Inggris (NCSC) mendakan varian tina spyware malware SparrowDoor dina jaringan Inggris anu teu diungkabkeun. Analisis varian ieu diterbitkeun dinten ayeuna, anu ayeuna tiasa maok data tina clipboard, antara anu sanésna. Salaku tambahan, indikator kompromi sareng aturan Yara parantos disayogikeun anu ngamungkinkeun organisasi ngadeteksi malware dina jaringan sorangan.

Versi munggaran SparrowDoor kapanggih ku parusahaan antipirus ESET sarta ceuk geus dipaké ngalawan hotél di sakuliah dunya, kitu ogé ngalawan pamaréntah. Para panyerang ngagunakeun kerentanan dina Microsoft Exchange, Microsoft SharePoint sareng Oracle Opera pikeun ngarobih kana organisasi. Organisasi anu kapangaruhan aya di Kanada, Israél, Perancis, Arab Saudi, Taiwan, Thailand sareng Inggris, sareng anu sanésna. ESET henteu ngungkabkeun target anu pasti tina panyerang.

NCSC Inggris nyatakeun yén éta mendakan varian SparrowDoor dina jaringan Inggris taun ka tukang. Versi ieu tiasa maok data tina clipboard sareng mariksa daptar hardcoded naha software antipirus tangtu jalan. Varian ieu ogé tiasa niru token akun pangguna nalika nyetél sambungan jaringan. Eta kamungkinan yén "downgrade" ieu dipigawé pikeun jadi inconspicuous, nu bisa lamun éta ngajalankeun komunikasi jaringan dina akun SYSTEM, contona.

Fitur anyar anu sanésna nyaéta ngabajak rupa-rupa Windows fungsi API. Henteu écés nalika malware ngagunakeun "API hooking" sareng "token impersonation", tapi numutkeun NCSC Inggris, panyerang nuju nyandak kaputusan kaamanan operasional anu sadar. Rincian langkung seueur ngeunaan jaringan anu diserang atanapi saha anu aya di tukangeun malware henteu dipasihkeun.