Maggie Malware
محققان Infosec در مورد یک بدافزار جدید هشدار می دهند که قبلاً صدها سرور SQL مایکروسافت را در سراسر جهان آلوده کرده است. این تهدید به عنوان مگی ردیابی می شود و به مجموعه گسترده ای از ویژگی های نفوذی مجهز شده است. قربانیان بدافزار Maggie بیشتر در هند، کره جنوبی، چین، روسیه، ویتنام، تایلند، ایالات متحده و آلمان بوده اند. اخیراً در گزارشی توسط محققان امنیتی، جزئیات مربوط به این بدافزار برای عموم فاش شد.
هنگامی که بدافزار Maggie در سیستم های آلوده مستقر شود، خود را به عنوان یک DLL رویه ذخیره شده توسعه یافته به نام 'sqlmaggieAntiVirus_64.dll' پنهان می کند که به صورت دیجیتالی توسط شرکتی به نام DEEPSoft Co. Ltd امضا می شود. این فایل ها می توانند عملکرد جستجوهای SQL را از طریق گسترش دهند. API آرگومان های کاربر راه دور را می پذیرد. از طریق این قابلیت، مگی می تواند دسترسی درب پشتی به دستگاه ایجاد کند و بیش از 50 دستور را اجرا کند.
بر اساس اهداف خاص خود، مهاجمان می توانند به Maggie دستور دهند تا اطلاعات سیستم را جمع آوری کند، برنامه ها را اجرا کند، سیستم فایل را مدیریت کند، خدمات دسکتاپ از راه دور و موارد دیگر را راه اندازی کند. دستورات شناسایی شده همچنین شامل چهار فرمان «Exploit» است که میتواند نشان دهد که مجرمان سایبری از آسیبپذیریهای شناخته شده برای اقدامات خاصی در سیستمهای نقض شده سوء استفاده میکنند.
بدافزار Maggie همچنین میتواند به هکرها امکان اتصال به هر آدرس IP در دسترس سرور MS-SQL آلوده را بدهد. علاوه بر این، برای پنهان کردن بهتر فعالیتهای خود، Maggie به عملکرد پراکسی SOCKS5 مجهز است و میتواند تمام بستههای غیرعادی شبکه را از طریق یک سرور پراکسی انتخابی هدایت کند.