Maggie Malware

חוקרי Infosec מזהירים מפני תוכנה זדונית חדשה שכבר הצליחה להדביק מאות שרתי SQL של Microsoft הפזורים ברחבי העולם. האיום נמצא במעקב בתור מגי והוא מצויד במערך נרחב של תכונות חודרניות. קורבנות התוכנה הזדונית של מגי אותרו בעיקר בהודו, דרום קוריאה, סין, רוסיה, וייטנאם, תאילנד, ארה"ב וגרמניה. פרטים על התוכנה הזדונית נחשפו לציבור בדו"ח של חוקרי אבטחה לאחרונה.

בעת פריסה במערכות הנגועות, התוכנה הזדונית של Maggie תתחפש ל-DLL מורחב של פרוצדורה מאוחסנת בשם 'sqlmaggieAntiVirus_64.dll', אשר ייחתם דיגיטלית על ידי חברה בשם DEEPSoft Co. Ltd. קבצים אלה יכולים להרחיב את הפונקציונליות של שאילתות SQL באמצעות API מקבל ארגומנטים של משתמש מרחוק. באמצעות פונקציונליות זו, מגי יכולה ליצור גישה בדלת אחורית למכשיר ולבצע למעלה מ-50 פקודות.

בהתבסס על המטרות הספציפיות שלהם, התוקפים יכולים להורות למגי לאסוף מידע מערכתי, להפעיל תוכניות, לנהל את מערכת הקבצים, להפעיל שירותי שולחן עבודה מרחוק ועוד. הפקודות שזוהו כוללות גם ארבע פקודות 'ניצול', שיכולות להצביע על כך שפושעי הסייבר מנצלים נקודות תורפה ידועות עבור פעולות מסוימות במערכות שנפרצו.

התוכנה הזדונית של Maggie יכולה גם לספק להאקרים את היכולת להתחבר לכל כתובת IP בהישג יד של שרת MS-SQL הנגוע. בנוסף, כדי להסוות טוב יותר את פעילותה, מגי מצוידת בפונקציונליות פרוקסי SOCKS5 ויכולה לנתב את כל מנות הרשת החריגות דרך שרת פרוקסי נבחר.