Maggie Malware

Výzkumníci společnosti Infosec varují před novým malwarem, kterému se již podařilo infikovat stovky serverů Microsoft SQL rozšířených po celém světě. Hrozba je sledována jako Maggie a je vybavena rozsáhlou sadou rušivých funkcí. Oběti malwaru Maggie byly většinou lokalizovány v Indii, Jižní Koreji, Číně, Rusku, Vietnamu, Thajsku, USA a Německu. Podrobnosti o malwaru byly veřejnosti odhaleny v nedávné zprávě bezpečnostních výzkumníků.

Po nasazení na infikované systémy se malware Maggie zamaskuje jako knihovna Extended Stored Procedure DLL s názvem 'sqlmaggieAntiVirus_64.dll', která bude digitálně podepsána společností s názvem DEEPSoft Co. Ltd. Tyto soubory mohou rozšířit funkčnost SQL dotazů prostřednictvím API akceptující argumenty vzdáleného uživatele. Prostřednictvím této funkce může Maggie vytvořit zadní vrátka k zařízení a provést více než 50 příkazů.

Na základě svých konkrétních cílů mohou útočníci nařídit Maggie, aby sbírala systémové informace, spouštěla programy, spravovala souborový systém, spouštěla služby vzdálené plochy a další. Identifikované příkazy zahrnují také čtyři příkazy „Exploit“, které by mohly naznačovat, že kyberzločinci využívají známé zranitelnosti pro určité akce na narušených systémech.

Malware Maggie také může poskytnout hackerům možnost připojit se k jakékoli IP adrese v dosahu infikovaného serveru MS-SQL. Kromě toho je Maggie pro lepší maskování svých aktivit vybavena funkcí proxy SOCKS5 a může směrovat všechny abnormální síťové pakety přes vybraný proxy server.