Минулого року Національний центр кібербезпеки Великобританії (NCSC) виявив варіант шпигунської шкідливої програми SparrowDoor у нерозкритій мережі Великобританії. Сьогодні був опублікований аналіз варіанта, який тепер, серед іншого, може вкрасти дані з буфера обміну. Крім того, були доступні індикатори компромісу та правила Yara, які дозволяють організаціям виявляти зловмисне програмне забезпечення у своїй власній мережі.
Першу версію SparrowDoor виявила антивірусна компанія ESET і, як кажуть, використовувалася проти готелів у всьому світі, а також проти урядів. Зловмисники використали вразливості в Microsoft Exchange, Microsoft SharePoint і Oracle Opera, щоб проникнути в організації. Постраждалі організації, серед інших, були в Канаді, Ізраїлі, Франції, Саудівській Аравії, Тайвані, Таїланді та Великобританії. ESET не розкриває точну мету зловмисників.
Британський NCSC каже, що минулого року знайшов варіант SparrowDoor у британській мережі. Ця версія може вкрасти дані з буфера обміну та перевірити за жорстко закодованим списком, чи запущено певне антивірусне програмне забезпечення. Цей варіант також може імітувати маркер облікового запису користувача під час налаштування мережевих підключень. Цілком імовірно, що це «пониження» робиться непомітним, що могло б, наприклад, виконувати мережеві комунікації під обліковим записом SYSTEM.
Ще одна нова функція - захоплення різних Windows Функції API. Незрозуміло, коли зловмисне програмне забезпечення використовує «підключення API» та «імітацію токена», але за даними британського NCSC, зловмисники приймають свідомі оперативні рішення щодо безпеки. Додаткова інформація про атакуовану мережу або про те, хто стоїть за зловмисним програмним забезпеченням, не повідомляється.