Maggie Malware

Изследователите на Infosec предупреждават за нов зловреден софтуер, който вече е успял да зарази стотици Microsoft SQL сървъри, разпространени по целия свят. Заплахата се проследява като Maggie и е оборудвана с обширен набор от натрапчиви функции. Жертвите на зловреден софтуер Maggie се намират предимно в Индия, Южна Корея, Китай, Русия, Виетнам, Тайланд, САЩ и Германия. Подробности за злонамерения софтуер бяха разкрити на обществеността в доклад на изследователи по сигурността наскоро.

Когато бъде внедрен на заразените системи, злонамереният софтуер Maggie ще се маскира като DLL с разширена съхранена процедура, наречена „sqlmaggieAntiVirus_64.dll“, която ще бъде цифрово подписана от компания на име DEEPSoft Co. Ltd. Тези файлове могат да разширят функционалността на SQL заявките чрез API, приемащ отдалечени потребителски аргументи. Чрез тази функционалност Maggie може да установи заден достъп до устройството и да изпълни над 50 команди.

Въз основа на техните специфични цели, нападателите могат да инструктират Maggie да събира системна информация, да изпълнява програми, да управлява файловата система, да стартира услуги за отдалечен работен плот и др. Идентифицираните команди включват също четири „Exploit“ такива, които биха могли да показват, че киберпрестъпниците използват известни уязвимости за определени действия на пробитите системи.

Злонамереният софтуер Maggie също може да предостави на хакерите възможността да се свържат с всеки IP адрес в обсега на заразения MS-SQL сървър. Освен това, за да маскира по-добре дейностите си, Maggie е оборудван с SOCKS5 прокси функционалност и може да насочва всички необичайни мрежови пакети през избран прокси сървър.