Maggie Malware

Onderzoekers van Infosec waarschuwen voor een nieuw stukje malware dat er al in is geslaagd honderden Microsoft SQL-servers over de hele wereld te infecteren. De dreiging wordt gevolgd als Maggie en is uitgerust met een uitgebreide reeks opdringerige functies. Slachtoffers van de Maggie-malware bevinden zich voornamelijk in India, Zuid-Korea, China, Rusland, Vietnam, Thailand, de VS en Duitsland. Details over de malware zijn onlangs openbaar gemaakt in een rapport van beveiligingsonderzoekers.

Wanneer de Maggie-malware wordt ingezet op de geïnfecteerde systemen, zal deze zichzelf vermommen als een Extended Stored Procedure DLL met de naam 'sqlmaggieAntiVirus_64.dll', die digitaal zal worden ondertekend door een bedrijf met de naam DEEPSoft Co. Ltd. Deze bestanden kunnen de functionaliteit van SQL-query's uitbreiden via API accepteert argumenten van externe gebruikers. Via deze functionaliteit kan Maggie achterdeurtoegang tot het apparaat tot stand brengen en meer dan 50 opdrachten uitvoeren.

Op basis van hun specifieke doelen kunnen de aanvallers Maggie instrueren om systeeminformatie te verzamelen, programma's uit te voeren, het bestandssysteem te beheren, remote desktop-services te starten en meer. De geïdentificeerde commando's bevatten ook vier 'Exploit'-opdrachten, wat erop zou kunnen wijzen dat de cybercriminelen bekende kwetsbaarheden misbruiken voor bepaalde acties op de geschonden systemen.

De Maggie-malware kan hackers ook de mogelijkheid bieden om verbinding te maken met elk IP-adres binnen het bereik van de geïnfecteerde MS-SQL-server. Om haar activiteiten beter te maskeren, is Maggie bovendien uitgerust met SOCKS5-proxyfunctionaliteit en kan ze alle abnormale netwerkpakketten via een gekozen proxyserver routeren.