Maggie Malware

I ricercatori di Infosec avvertono di un nuovo malware che è già riuscito a infettare centinaia di server Microsoft SQL sparsi in tutto il mondo. La minaccia viene tracciata come Maggie ed è dotata di un ampio set di funzionalità intrusive. Le vittime del malware Maggie sono state localizzate principalmente in India, Corea del Sud, Cina, Russia, Vietnam, Thailandia, Stati Uniti e Germania. I dettagli sul malware sono stati recentemente rivelati al pubblico in un rapporto dei ricercatori di sicurezza.

Quando viene distribuito sui sistemi infetti, il malware Maggie si maschera come una DLL di stored procedure estesa denominata "sqlmaggieAntiVirus_64.dll", che sarà firmata digitalmente da una società denominata DEEPSoft Co. Ltd. Questi file possono estendere la funzionalità delle query SQL tramite API che accetta argomenti utente remoti. Attraverso questa funzionalità, Maggie può stabilire un accesso backdoor al dispositivo ed eseguire oltre 50 comandi.

In base ai loro obiettivi specifici, gli aggressori possono istruire Maggie a raccogliere informazioni di sistema, eseguire programmi, gestire il file system, avviare servizi di desktop remoto e altro ancora. I comandi identificati includono anche quattro "Exploit", che potrebbero indicare che i criminali informatici stanno sfruttando vulnerabilità note per determinate azioni sui sistemi violati.

Il malware Maggie può anche fornire agli hacker la possibilità di connettersi a qualsiasi indirizzo IP alla portata del server MS-SQL infetto. Inoltre, per mascherare meglio le sue attività, Maggie è dotata della funzionalità proxy SOCKS5 e può instradare tutti i pacchetti di rete anomali attraverso un server proxy scelto.