Maggie Malware

Os pesquisadores de Infosec estão alertando sobre um novo malware que já conseguiu infectar centenas de servidores Microsoft SQL espalhados por todo o mundo. A ameaça está sendo rastreada como Maggie e está equipada com um amplo conjunto de recursos intrusivos. As vítimas do malware Maggie foram localizadas principalmente na Índia, Coreia do Sul, China, Rússia, Vietnã, Tailândia, EUA e Alemanha. Detalhes sobre o malware foram revelados ao público em um relatório de pesquisadores de segurança recentemente.

Quando implantado nos sistemas infectados, o malware Maggie se disfarça como um Extended Stored Procedure DLL chamado 'sqlmaggieAntiVirus_64.dll', que será assinado digitalmente por uma empresa chamada DEEPSoft Co. Ltd. Esses arquivos podem estender a funcionalidade de consultas SQL via API aceitando argumentos de usuários remotos. Por meio dessa funcionalidade, Maggie pode estabelecer acesso backdoor ao dispositivo e executar mais de 50 comandos.

Com base nos seus objetivos específicos, os invasores podem instruir Maggie a coletar informações do sistema, executar programas, gerenciar o sistema de arquivos, iniciar serviços de desktop remoto e muito mais. Os comandos identificados também incluem quatro 'Exploit', que podem indicar que os cibercriminosos estão explorando vulnerabilidades conhecidas para determinadas ações nos sistemas violados.

O malware Maggie também pode fornecer aos hackers a capacidade de se conectar a qualquer endereço de IP ao alcance do servidor MS-SQL infectado. Além disso, para mascarar melhor suas atividades, o Maggie está equipado com a funcionalidade de proxy SOCKS5 e pode rotear todos os pacotes de rede anormais por meio de um servidor proxy escolhido.