Maggie Malware

Az Infosec kutatói egy új rosszindulatú programra figyelmeztetnek, amely már több száz Microsoft SQL szervert megfertőzött világszerte. A fenyegetést Maggie néven követik nyomon, és számos tolakodó funkcióval van felszerelve. A Maggie kártevő áldozatai többnyire Indiában, Dél-Koreában, Kínában, Oroszországban, Vietnamban, Thaiföldön, az Egyesült Államokban és Németországban találhatók. A rosszindulatú program részleteit a biztonságkutatók nemrégiben készített jelentése tárta a nyilvánosság elé.

Amikor telepítik a fertőzött rendszerekre, a Maggie malware egy „sqlmaggieAntiVirus_64.dll” nevű kiterjesztett tárolt eljárású DLL-nek álcázza magát, amelyet a DEEPSoft Co. Ltd. nevű cég digitálisan aláír. Ezek a fájlok kiterjeszthetik az SQL-lekérdezések funkcióit a következőn keresztül. Az API távoli felhasználói argumentumokat fogad el. Ezzel a funkcióval Maggie hátsó ajtón keresztül hozzáférhet az eszközhöz, és több mint 50 parancsot hajthat végre.

Konkrét céljaik alapján a támadók utasíthatják Maggie-t, hogy gyűjtse össze a rendszerinformációkat, futtasson programokat, kezelje a fájlrendszert, indítsa el a távoli asztali szolgáltatásokat és még sok mást. Az azonosított parancsok között négy 'Exploit' is szerepel, ami arra utalhat, hogy a kiberbûnözõk a feltört rendszereken végrehajtott bizonyos mûveletek érdekében kihasználják az ismert sebezhetõségeket.

A Maggie kártevő azt is lehetővé teszi a hackerek számára, hogy a fertőzött MS-SQL szerver által elérhető bármely IP-címhez kapcsolódjanak. Ezen túlmenően, hogy jobban elfedje tevékenységeit, a Maggie fel van szerelve SOCKS5 proxy funkcióval, és az összes rendellenes hálózati csomagot egy kiválasztott proxyszerveren keresztül tudja irányítani.