Maggie Malware

Els investigadors d'Infosec alerten sobre un nou programari maliciós que ja ha aconseguit infectar centenars de servidors Microsoft SQL repartits per tot el món. L'amenaça està sent rastrejada com a Maggie i està equipada amb un ampli conjunt de funcions intrusives. Les víctimes del programari maliciós Maggie s'han localitzat principalment a l'Índia, Corea del Sud, Xina, Rússia, Vietnam, Tailàndia, els EUA i Alemanya. Els detalls sobre el programari maliciós es van revelar recentment al públic en un informe d'investigadors de seguretat.

Quan es desplega als sistemes infectats, el programari maliciós Maggie es disfressarà com una DLL de procediment emmagatzemat estès anomenada "sqlmaggieAntiVirus_64.dll", que estarà signada digitalment per una empresa anomenada DEEPSoft Co. Ltd. Aquests fitxers poden ampliar la funcionalitat de les consultes SQL mitjançant API que accepta arguments d'usuari remot. Mitjançant aquesta funcionalitat, Maggie pot establir un accés de porta posterior al dispositiu i executar més de 50 ordres.

En funció dels seus objectius específics, els atacants poden instruir a Maggie per recopilar informació del sistema, executar programes, gestionar el sistema de fitxers, iniciar serveis d'escriptori remot i molt més. Les ordres identificades també inclouen quatre d''Explota', que podrien indicar que els ciberdelinqüents estan explotant vulnerabilitats conegudes per a determinades accions en els sistemes violats.

El programari maliciós Maggie també pot proporcionar als pirates informàtics la possibilitat de connectar-se a qualsevol adreça IP a l'abast del servidor MS-SQL infectat. A més, per emmascarar millor les seves activitats, Maggie està equipada amb la funcionalitat de proxy SOCKS5 i pot encaminar tots els paquets de xarxa anormals a través d'un servidor intermediari escollit.