Năm ngoái, Trung tâm An ninh mạng Quốc gia của Vương quốc Anh (NCSC) đã tìm thấy một biến thể của phần mềm độc hại gián điệp SparrowDoor trên một mạng không được tiết lộ của Vương quốc Anh. Một phân tích về biến thể đã được công bố ngày hôm nay, hiện có thể lấy cắp dữ liệu từ khay nhớ tạm, trong số những thứ khác. Ngoài ra, các chỉ báo về sự xâm phạm và các quy tắc Yara đã được cung cấp cho phép các tổ chức phát hiện phần mềm độc hại trong mạng của họ.
Phiên bản đầu tiên của SparrowDoor được phát hiện bởi công ty chống vi-rút ESET và được cho là đã được sử dụng để chống lại các khách sạn trên toàn thế giới, cũng như chống lại các chính phủ. Những kẻ tấn công đã sử dụng các lỗ hổng trong Microsoft Exchange, Microsoft SharePoint và Oracle Opera để đột nhập vào các tổ chức. Các tổ chức bị ảnh hưởng ở Canada, Israel, Pháp, Ả Rập Saudi, Đài Loan, Thái Lan và Vương quốc Anh, cùng những tổ chức khác. ESET không tiết lộ mục tiêu chính xác của những kẻ tấn công.
NCSC của Anh cho biết họ đã tìm thấy một biến thể của SparrowDoor trên mạng của Anh vào năm ngoái. Phiên bản này có thể lấy cắp dữ liệu từ khay nhớ tạm và kiểm tra danh sách được mã hóa cứng xem có phần mềm chống vi-rút nhất định đang chạy hay không. Biến thể này cũng có thể bắt chước mã thông báo tài khoản người dùng khi thiết lập kết nối mạng. Có khả năng là việc “hạ cấp” này được thực hiện để không dễ thấy, chẳng hạn như nếu nó đang thực hiện truyền thông mạng trong tài khoản SYSTEM.
Một tính năng mới khác là chiếm quyền điều khiển Windows Các hàm API. Không rõ khi nào phần mềm độc hại sử dụng “API hooking” và “mạo danh mã thông báo”, nhưng theo NCSC của Anh, những kẻ tấn công đang đưa ra các quyết định bảo mật hoạt động có ý thức. Các chi tiết khác về mạng bị tấn công hoặc ai đứng sau phần mềm độc hại không được cung cấp.