Maggie Malware

Исследователи Infosec предупреждают о новой вредоносной программе, которой уже удалось заразить сотни серверов Microsoft SQL, разбросанных по всему миру. Угроза отслеживается как Мэгги и оснащена обширным набором навязчивых функций. Жертвы вредоносного ПО Maggie в основном находятся в Индии, Южной Корее, Китае, России, Вьетнаме, Таиланде, США и Германии. Подробности о вредоносном ПО были опубликованы недавно в отчете исследователей безопасности.

При развертывании на зараженных системах вредоносное ПО Maggie будет маскироваться под DLL-библиотеку расширенной хранимой процедуры с именем sqlmaggieAntiVirus_64.dll, которая будет иметь цифровую подпись компании DEEPSoft Co. Ltd. Эти файлы могут расширять функциональные возможности SQL-запросов с помощью API, принимающий аргументы удаленного пользователя. Благодаря этой функции Мэгги может установить бэкдор-доступ к устройству и выполнить более 50 команд.

В зависимости от своих конкретных целей злоумышленники могут поручить Мэгги собирать системную информацию, запускать программы, управлять файловой системой, запускать службы удаленного рабочего стола и многое другое. Выявленные команды также включают четыре команды «Эксплойт», которые могут указывать на то, что киберпреступники используют известные уязвимости для определенных действий на взломанных системах.

Вредоносная программа Maggie также может предоставить хакерам возможность подключаться к любому IP-адресу в пределах досягаемости зараженного сервера MS-SQL. Кроме того, для лучшей маскировки своих действий Maggie оснащена прокси-функцией SOCKS5 и может направлять все аномальные сетевые пакеты через выбранный прокси-сервер.