Maggie Malware

Výskumníci spoločnosti Infosec varujú pred novým škodlivým softvérom, ktorému sa už podarilo infikovať stovky serverov Microsoft SQL rozšírených po celom svete. Hrozba je sledovaná ako Maggie a je vybavená rozsiahlou sadou rušivých funkcií. Obete malvéru Maggie sa väčšinou nachádzali v Indii, Južnej Kórei, Číne, Rusku, Vietname, Thajsku, USA a Nemecku. Podrobnosti o malvéri boli nedávno odhalené verejnosti v správe bezpečnostných výskumníkov.

Po nasadení na infikovaných systémoch sa malvér Maggie zamaskuje ako knižnica Extended Stored Procedure DLL s názvom „sqlmaggieAntiVirus_64.dll“, ktorá bude digitálne podpísaná spoločnosťou DEEPSoft Co. Ltd. Tieto súbory môžu rozšíriť funkčnosť dotazov SQL prostredníctvom API akceptujúce argumenty vzdialeného používateľa. Prostredníctvom tejto funkcie môže Maggie vytvoriť zadný prístup k zariadeniu a vykonať viac ako 50 príkazov.

Na základe svojich konkrétnych cieľov môžu útočníci prikázať Maggie, aby zbierala systémové informácie, spúšťala programy, spravovala súborový systém, spúšťala služby vzdialenej pracovnej plochy a ďalšie. Identifikované príkazy zahŕňajú aj štyri príkazy „Exploit“, ktoré by mohli naznačovať, že kyberzločinci využívajú známe zraniteľnosti na určité akcie na narušených systémoch.

Malvér Maggie môže tiež poskytnúť hackerom možnosť pripojiť sa k akejkoľvek IP adrese v dosahu infikovaného servera MS-SQL. Okrem toho je Maggie pre lepšie maskovanie svojich aktivít vybavená funkciou proxy SOCKS5 a môže smerovať všetky abnormálne sieťové pakety cez vybraný proxy server.