Maggie Malware

Infosec-forskere advarer om et nytt stykke skadelig programvare som allerede har klart å infisere hundrevis av Microsoft SQL-servere spredt over hele verden. Trusselen spores som Maggie og er utstyrt med et omfattende sett med påtrengende funksjoner. Ofre for Maggie malware har for det meste vært lokalisert i India, Sør-Korea, Kina, Russland, Vietnam, Thailand, USA og Tyskland. Detaljer om skadelig programvare ble avslørt for offentligheten i en rapport fra sikkerhetsforskere nylig.

Når den distribueres på de infiserte systemene, vil Maggie-malware forkle seg som en utvidet lagret prosedyre-DLL kalt 'sqlmaggieAntiVirus_64.dll', som vil signeres digitalt av et selskap ved navn DEEPSoft Co. Ltd. Disse filene kan utvide funksjonaliteten til SQL-spørringer via API aksepterer eksterne brukerargumenter. Gjennom denne funksjonaliteten kan Maggie etablere bakdørstilgang til enheten og utføre over 50 kommandoer.

Basert på deres spesifikke mål, kan angriperne instruere Maggie til å høste systeminformasjon, kjøre programmer, administrere filsystemet, starte eksterne skrivebordstjenester og mer. De identifiserte kommandoene inkluderer også fire 'Exploit', som kan indikere at nettkriminelle utnytter kjente sårbarheter for visse handlinger på de brutte systemene.

Maggie malware kan også gi hackerne muligheten til å koble til en hvilken som helst IP-adresse innenfor rekkevidden til den infiserte MS-SQL-serveren. I tillegg, for å maskere aktivitetene bedre, er Maggie utstyrt med SOCKS5 proxy-funksjonalitet og kan rute alle unormale nettverkspakker gjennom en valgt proxy-server.