Maggie Malware

Raziskovalci Infosec opozarjajo na nov del zlonamerne programske opreme, ki je že uspela okužiti na stotine strežnikov Microsoft SQL, razširjenih po vsem svetu. Grožnja se sledi kot Maggie in je opremljena z obsežnim naborom vsiljivih funkcij. Žrtve zlonamerne programske opreme Maggie so bile večinoma v Indiji, Južni Koreji, na Kitajskem, v Rusiji, Vietnamu, na Tajskem, v ZDA in Nemčiji. Podrobnosti o zlonamerni programski opremi so nedavno razkrili javnosti v poročilu varnostnih raziskovalcev.

Ko bo nameščena v okuženih sistemih, se bo zlonamerna programska oprema Maggie prikrila kot DLL razširjenega shranjenega postopka z imenom 'sqlmaggieAntiVirus_64.dll', ki ga bo digitalno podpisalo podjetje z imenom DEEPSoft Co. Ltd. Te datoteke lahko razširijo funkcionalnost poizvedb SQL prek API, ki sprejema argumente oddaljenega uporabnika. S to funkcionalnostjo lahko Maggie vzpostavi stranski dostop do naprave in izvede več kot 50 ukazov.

Na podlagi svojih specifičnih ciljev lahko napadalci naročijo Maggie, naj zbira sistemske informacije, izvaja programe, upravlja datotečni sistem, zažene storitve oddaljenega namizja in drugo. Identificirani ukazi vključujejo tudi štiri 'Exploit' ukaze, ki bi lahko pomenili, da kibernetski kriminalci izkoriščajo znane ranljivosti za določena dejanja v sistemih, v katerih je prišlo do zloma.

Zlonamerna programska oprema Maggie lahko hekerjem tudi omogoči povezavo s katerim koli naslovom IP v dosegu okuženega strežnika MS-SQL. Poleg tega je Maggie za boljše prikrivanje svojih dejavnosti opremljen s funkcijo proxy SOCKS5 in lahko vse neobičajne omrežne pakete usmeri prek izbranega proxy strežnika.