Maggie Malware

محققان Infosec در مورد یک بدافزار جدید هشدار می دهند که قبلاً صدها سرور SQL مایکروسافت را در سراسر جهان آلوده کرده است. این تهدید به عنوان مگی ردیابی می شود و به مجموعه گسترده ای از ویژگی های نفوذی مجهز شده است. قربانیان بدافزار Maggie بیشتر در هند، کره جنوبی، چین، روسیه، ویتنام، تایلند، ایالات متحده و آلمان بوده اند. اخیراً در گزارشی توسط محققان امنیتی، جزئیات مربوط به این بدافزار برای عموم فاش شد.

هنگامی که بدافزار Maggie در سیستم های آلوده مستقر شود، خود را به عنوان یک DLL رویه ذخیره شده توسعه یافته به نام 'sqlmaggieAntiVirus_64.dll' پنهان می کند که به صورت دیجیتالی توسط شرکتی به نام DEEPSoft Co. Ltd امضا می شود. این فایل ها می توانند عملکرد جستجوهای SQL را از طریق گسترش دهند. API آرگومان های کاربر راه دور را می پذیرد. از طریق این قابلیت، مگی می تواند دسترسی درب پشتی به دستگاه ایجاد کند و بیش از 50 دستور را اجرا کند.

بر اساس اهداف خاص خود، مهاجمان می توانند به Maggie دستور دهند تا اطلاعات سیستم را جمع آوری کند، برنامه ها را اجرا کند، سیستم فایل را مدیریت کند، خدمات دسکتاپ از راه دور و موارد دیگر را راه اندازی کند. دستورات شناسایی شده همچنین شامل چهار فرمان «Exploit» است که می‌تواند نشان دهد که مجرمان سایبری از آسیب‌پذیری‌های شناخته شده برای اقدامات خاصی در سیستم‌های نقض شده سوء استفاده می‌کنند.

بدافزار Maggie همچنین می‌تواند به هکرها امکان اتصال به هر آدرس IP در دسترس سرور MS-SQL آلوده را بدهد. علاوه بر این، برای پنهان کردن بهتر فعالیت‌های خود، Maggie به عملکرد پراکسی SOCKS5 مجهز است و می‌تواند تمام بسته‌های غیرعادی شبکه را از طریق یک سرور پراکسی انتخابی هدایت کند.