Maggie Malware

นักวิจัยของ Infosec เตือนเกี่ยวกับมัลแวร์ชิ้นใหม่ที่สามารถแพร่ระบาดในเซิร์ฟเวอร์ Microsoft SQL หลายร้อยแห่งทั่วโลก ภัยคุกคามกำลังถูกติดตามในฐานะ Maggie และมาพร้อมกับชุดคุณลักษณะที่ล่วงล้ำมากมาย เหยื่อมัลแวร์แม็กกี้ส่วนใหญ่ตั้งอยู่ในอินเดีย เกาหลีใต้ จีน รัสเซีย เวียดนาม ไทย สหรัฐอเมริกา และเยอรมนี รายละเอียดเกี่ยวกับมัลแวร์ถูกเปิดเผยต่อสาธารณะในรายงานโดยนักวิจัยด้านความปลอดภัยเมื่อเร็ว ๆ นี้

เมื่อนำไปใช้กับระบบที่ติดไวรัส มัลแวร์ Maggie จะปลอมตัวเป็น Extended Stored Procedure DLL ชื่อ 'sqlmaggieAntiVirus_64.dll' ซึ่งจะถูกเซ็นชื่อแบบดิจิทัลโดยบริษัท DEEPSoft Co. Ltd ไฟล์เหล่านี้สามารถขยายการทำงานของคำสั่ง SQL ผ่าน API ยอมรับข้อโต้แย้งของผู้ใช้ระยะไกล ด้วยฟังก์ชันการทำงานนี้ Maggie สามารถสร้างการเข้าถึงอุปกรณ์ลับๆ และดำเนินการคำสั่งได้มากกว่า 50 คำสั่ง

ตามเป้าหมายเฉพาะของพวกเขา ผู้โจมตีสามารถสั่งให้ Maggie รวบรวมข้อมูลระบบ รันโปรแกรม จัดการระบบไฟล์ เริ่มบริการเดสก์ท็อประยะไกลและอื่น ๆ คำสั่งที่ระบุยังรวมถึงคำสั่ง 'Exploit' สี่คำสั่ง ซึ่งอาจบ่งชี้ว่าอาชญากรไซเบอร์กำลังใช้ประโยชน์จากช่องโหว่ที่ทราบสำหรับการกระทำบางอย่างบนระบบที่ถูกละเมิด

มัลแวร์ Maggie ยังสามารถให้แฮกเกอร์สามารถเชื่อมต่อกับที่อยู่ IP ใด ๆ ภายในการเข้าถึงของเซิร์ฟเวอร์ MS-SQL ที่ติดไวรัส นอกจากนี้ เพื่อปกปิดกิจกรรมของตนให้ดีขึ้น Maggie ยังมาพร้อมกับฟังก์ชันพร็อกซี SOCKS5 และสามารถกำหนดเส้นทางแพ็กเก็ตเครือข่ายที่ผิดปกติทั้งหมดผ่านพร็อกซีเซิร์ฟเวอร์ที่เลือก