Maggie Malware

Infosec araştırmacıları, tüm dünyaya yayılmış yüzlerce Microsoft SQL sunucusuna bulaşmayı başarmış yeni bir kötü amaçlı yazılım parçası hakkında uyarıda bulunuyorlar. Tehdit, Maggie olarak izleniyor ve geniş kapsamlı müdahaleci özelliklerle donatılmıştır. Maggie kötü amaçlı yazılımının kurbanları çoğunlukla Hindistan, Güney Kore, Çin, Rusya, Vietnam, Tayland, ABD ve Almanya'da bulunuyor. Kötü amaçlı yazılımla ilgili ayrıntılar, geçtiğimiz günlerde güvenlik araştırmacıları tarafından hazırlanan bir raporda kamuoyuna açıklandı.

Maggie kötü amaçlı yazılımı, virüslü sistemlere dağıtıldığında kendisini, DEEPSoft Co. Ltd. adlı bir şirket tarafından dijital olarak imzalanacak olan 'sqlmaggieAntiVirus_64.dll' adlı Genişletilmiş Saklı Yordam DLL'si olarak gizler. Bu dosyalar, SQL sorgularının işlevselliğini şu yollarla genişletebilir: Uzak kullanıcı bağımsız değişkenlerini kabul eden API. Bu işlevsellik sayesinde Maggie, cihaza arka kapı erişimi sağlayabilir ve 50'den fazla komut çalıştırabilir.

Saldırganlar, belirli hedeflerine bağlı olarak Maggie'ye sistem bilgilerini toplaması, programları yürütmesi, dosya sistemini yönetmesi, uzak masaüstü hizmetlerini başlatması ve daha pek çok şey için talimat verebilir. Tanımlanan komutlar ayrıca siber suçluların ihlal edilen sistemlerdeki belirli eylemler için bilinen güvenlik açıklarından yararlandığını gösterebilecek dört 'İstismar' komutunu da içeriyor.

Maggie kötü amaçlı yazılımı, bilgisayar korsanlarına, virüslü MS-SQL sunucusunun erişimindeki herhangi bir IP adresine bağlanma yeteneği de sağlayabilir. Ek olarak, faaliyetlerini daha iyi maskelemek için Maggie, SOCKS5 proxy işleviyle donatılmıştır ve tüm anormal ağ paketlerini seçilen bir proxy sunucusu üzerinden yönlendirebilir.