Maggie Malware

يحذر باحثو Infosec من قطعة جديدة من البرامج الضارة تمكنت بالفعل من إصابة مئات من خوادم Microsoft SQL المنتشرة في جميع أنحاء العالم. يتم تعقب التهديد باعتباره ماجي ومجهز بمجموعة واسعة من الميزات المتطفلة. يقع معظم ضحايا برنامج Maggie الضار في الهند وكوريا الجنوبية والصين وروسيا وفيتنام وتايلاند والولايات المتحدة وألمانيا. تم الكشف عن تفاصيل البرنامج الخبيث للجمهور في تقرير للباحثين الأمنيين مؤخرًا.

عند نشره على الأنظمة المصابة ، سوف يتنكر برنامج Maggie الضار على هيئة ملف DLL للإجراء المخزن الموسع يسمى "sqlmaggieAntiVirus_64.dll" ، والذي سيتم توقيعه رقميًا بواسطة شركة تدعى DEEPSoft Co. Ltd.. يمكن لهذه الملفات توسيع وظائف استعلامات SQL عبر قبول API وسيطات المستخدم البعيد. من خلال هذه الوظيفة ، يمكن لـ Maggie إنشاء وصول خلفي إلى الجهاز وتنفيذ أكثر من 50 أمرًا.

استنادًا إلى أهدافهم المحددة ، يمكن للمهاجمين توجيه تعليمات إلى Maggie لحصد معلومات النظام وتنفيذ البرامج وإدارة نظام الملفات وبدء خدمات سطح المكتب البعيد والمزيد. تتضمن الأوامر المحددة أيضًا أربعة أوامر "استغلال" ، والتي يمكن أن تشير إلى أن المجرمين الإلكترونيين يستغلون نقاط الضعف المعروفة لإجراءات معينة على الأنظمة المخترقة.

يمكن لبرامج Maggie الضارة أيضًا أن توفر للمتسللين القدرة على الاتصال بأي عنوان IP في متناول خادم MS-SQL المصاب. بالإضافة إلى ذلك ، لإخفاء أنشطتها بشكل أفضل ، تم تجهيز Maggie بوظيفة وكيل SOCKS5 ويمكنها توجيه جميع حزم الشبكة غير الطبيعية من خلال خادم وكيل تم اختياره.