Maggie Malware

Infosec-forskare varnar för en ny skadlig programvara som redan har lyckats infektera hundratals Microsoft SQL-servrar spridda över hela världen. Hotet spåras som Maggie och är utrustad med en omfattande uppsättning påträngande funktioner. Offer för Maggie skadliga program har mestadels hittats i Indien, Sydkorea, Kina, Ryssland, Vietnam, Thailand, USA och Tyskland. Detaljer om skadlig programvara avslöjades för allmänheten i en rapport från säkerhetsforskare nyligen.

När den distribueras på de infekterade systemen kommer Maggie skadliga program att maskera sig som en Extended Stored Procedure DLL med namnet 'sqlmaggieAntiVirus_64.dll', som kommer att signeras digitalt av ett företag som heter DEEPSoft Co. Ltd. Dessa filer kan utöka funktionaliteten för SQL-frågor via API accepterar fjärranvändarargument. Genom denna funktionalitet kan Maggie skapa bakdörrsåtkomst till enheten och utföra över 50 kommandon.

Baserat på sina specifika mål kan angriparna instruera Maggie att samla in systeminformation, köra program, hantera filsystemet, starta fjärrskrivbordstjänster och mer. De identifierade kommandona inkluderar även fyra "Exploit"-kommandon, som kan indikera att cyberbrottslingar utnyttjar kända sårbarheter för vissa åtgärder på de brutna systemen.

Maggie malware kan också ge hackarna möjlighet att ansluta till vilken IP-adress som helst inom räckhåll för den infekterade MS-SQL-servern. Dessutom, för att bättre maskera dess aktiviteter, är Maggie utrustad med SOCKS5 proxyfunktionalitet och kan dirigera alla onormala nätverkspaket genom en vald proxyserver.