Maggie Malware

Дослідники Infosec попереджають про нову шкідливу програму, яка вже встигла заразити сотні серверів Microsoft SQL по всьому світу. Загроза відстежується як Maggie і оснащена широким набором нав’язливих функцій. Жертви зловмисного програмного забезпечення Maggie здебільшого знаходяться в Індії, Південній Кореї, Китаї, Росії, В’єтнамі, Таїланді, США та Німеччині. Подробиці про зловмисне програмне забезпечення були розкриті громадськості в нещодавній доповіді дослідників безпеки.

Під час розгортання на заражених системах зловмисне програмне забезпечення Maggie маскується під розширену збережену процедуру DLL під назвою «sqlmaggieAntiVirus_64.dll», яка матиме цифровий підпис компанії DEEPSoft Co. Ltd. Ці файли можуть розширювати функціональні можливості SQL-запитів за допомогою API, що приймає аргументи віддаленого користувача. За допомогою цієї функції Maggie може встановити бекдор-доступ до пристрою та виконати понад 50 команд.

Виходячи зі своїх конкретних цілей, зловмисники можуть доручити Maggie збирати системну інформацію, запускати програми, керувати файловою системою, запускати служби віддаленого робочого столу тощо. Визначені команди також включають чотири команди «Exploit», які можуть вказувати на те, що кіберзлочинці використовують відомі вразливості для певних дій у зламаних системах.

Зловмисне програмне забезпечення Maggie також може надати хакерам можливість підключитися до будь-якої IP-адреси в межах досяжності зараженого сервера MS-SQL. Крім того, щоб краще маскувати свою діяльність, Maggie оснащено проксі-сервером SOCKS5 і може направляти всі нестандартні мережеві пакети через вибраний проксі-сервер.