Maggie Malware

Các nhà nghiên cứu của Infosec đang cảnh báo về một phần mềm độc hại mới đã lây nhiễm sang hàng trăm máy chủ Microsoft SQL trên toàn thế giới. Mối đe dọa đang được theo dõi là Maggie và được trang bị một loạt các tính năng xâm nhập. Nạn nhân của phần mềm độc hại Maggie chủ yếu ở Ấn Độ, Hàn Quốc, Trung Quốc, Nga, Việt Nam, Thái Lan, Mỹ và Đức. Chi tiết về phần mềm độc hại đã được tiết lộ cho công chúng trong một báo cáo của các nhà nghiên cứu bảo mật gần đây.

Khi được triển khai trên các hệ thống bị nhiễm, phần mềm độc hại Maggie sẽ tự ngụy trang thành một DLL được lưu trữ mở rộng có tên 'sqlmaggieAntiVirus_64.dll', sẽ được ký điện tử bởi một công ty có tên DEEPSoft Co. Ltd. Những tệp này có thể mở rộng chức năng của các truy vấn SQL thông qua API chấp nhận các đối số của người dùng từ xa. Thông qua chức năng này, Maggie có thể thiết lập quyền truy cập cửa hậu vào thiết bị và thực hiện hơn 50 lệnh.

Dựa trên các mục tiêu cụ thể của chúng, những kẻ tấn công có thể hướng dẫn Maggie thu thập thông tin hệ thống, thực thi các chương trình, quản lý hệ thống tệp, khởi động các dịch vụ máy tính để bàn từ xa và hơn thế nữa. Các lệnh được xác định cũng bao gồm bốn lệnh 'Khai thác', có thể chỉ ra rằng tội phạm mạng đang khai thác các lỗ hổng đã biết cho các hành động nhất định trên hệ thống bị vi phạm.

Phần mềm độc hại Maggie cũng có thể cung cấp cho tin tặc khả năng kết nối với bất kỳ địa chỉ IP nào trong tầm với của máy chủ MS-SQL bị nhiễm. Ngoài ra, để che dấu các hoạt động của mình tốt hơn, Maggie được trang bị chức năng proxy SOCKS5 và có thể định tuyến tất cả các gói mạng bất thường thông qua một máy chủ proxy đã chọn.