Maggie Malware

Cercetătorii Infosec avertizează despre un nou program malware care a reușit deja să infecteze sute de servere Microsoft SQL răspândite în întreaga lume. Amenințarea este urmărită ca Maggie și este echipată cu un set extins de funcții intruzive. Victimele malware-ului Maggie au fost localizate mai ales în India, Coreea de Sud, China, Rusia, Vietnam, Thailanda, SUA și Germania. Detalii despre malware au fost dezvăluite publicului recent într-un raport realizat de cercetătorii de securitate.

Când este implementat pe sistemele infectate, malware-ul Maggie se va deghiza ca un DLL de procedură stocată extinsă numit „sqlmaggieAntiVirus_64.dll”, care va fi semnat digital de o companie numită DEEPSoft Co. Ltd. Aceste fișiere pot extinde funcționalitatea interogărilor SQL prin API care acceptă argumentele utilizatorului de la distanță. Prin această funcționalitate, Maggie poate stabili accesul din spate la dispozitiv și poate executa peste 50 de comenzi.

Pe baza obiectivelor lor specifice, atacatorii o pot instrui pe Maggie să colecteze informații despre sistem, să execute programe, să gestioneze sistemul de fișiere, să pornească servicii desktop la distanță și multe altele. Comenzile identificate includ și patru „Exploit”, ceea ce ar putea indica faptul că infractorii cibernetici exploatează vulnerabilități cunoscute pentru anumite acțiuni asupra sistemelor încălcate.

De asemenea, programul malware Maggie poate oferi hackerilor posibilitatea de a se conecta la orice adresă IP aflată la îndemâna serverului MS-SQL infectat. În plus, pentru a-și masca mai bine activitățile, Maggie este echipată cu funcționalitatea proxy SOCKS5 și poate direcționa toate pachetele anormale de rețea printr-un server proxy ales.