Maggie Malware

Infosec-forskere advarer om et nyt stykke malware, der allerede har formået at inficere hundredvis af Microsoft SQL-servere spredt over hele verden. Truslen spores som Maggie og er udstyret med et omfattende sæt af påtrængende funktioner. Ofre for Maggie-malwaren har for det meste været lokaliseret i Indien, Sydkorea, Kina, Rusland, Vietnam, Thailand, USA og Tyskland. Detaljer om malware blev afsløret for offentligheden i en rapport fra sikkerhedsforskere for nylig.

Når den installeres på de inficerede systemer, vil Maggie-malwaren forklæde sig som en udvidet lagret procedure-DLL ved navn 'sqlmaggieAntiVirus_64.dll', som vil blive digitalt underskrevet af en virksomhed ved navn DEEPSoft Co. Ltd. Disse filer kan udvide funktionaliteten af SQL-forespørgsler via API, der accepterer argumenter fra fjernbrugere. Gennem denne funktionalitet kan Maggie etablere bagdørsadgang til enheden og udføre over 50 kommandoer.

Baseret på deres specifikke mål kan angriberne instruere Maggie til at høste systemoplysninger, udføre programmer, administrere filsystemet, starte fjernskrivebordstjenester og mere. De identificerede kommandoer inkluderer også fire 'Exploit'-kommandoer, som kunne indikere, at cyberkriminelle udnytter kendte sårbarheder til bestemte handlinger på de brudte systemer.

Maggie malware kan også give hackerne mulighed for at oprette forbindelse til enhver IP-adresse inden for rækkevidde af den inficerede MS-SQL-server. For bedre at maskere sine aktiviteter er Maggie desuden udstyret med SOCKS5 proxy-funktionalitet og kan dirigere alle unormale netværkspakker gennem en valgt proxyserver.