Maggie Malware

Les chercheurs d'Infosec mettent en garde contre un nouveau malware qui a déjà réussi à infecter des centaines de serveurs Microsoft SQL répartis dans le monde entier. La menace est suivie sous le nom de Maggie et est équipée d'un ensemble complet de fonctionnalités intrusives. Les victimes du malware Maggie se trouvent principalement en Inde, en Corée du Sud, en Chine, en Russie, au Vietnam, en Thaïlande, aux États-Unis et en Allemagne. Des détails sur le logiciel malveillant ont récemment été révélés au public dans un rapport de chercheurs en sécurité.

Lorsqu'il est déployé sur les systèmes infectés, le logiciel malveillant Maggie se déguise en une DLL de procédure stockée étendue nommée "sqlmaggieAntiVirus_64.dll", qui sera signée numériquement par une société nommée DEEPSoft Co. Ltd. Ces fichiers peuvent étendre la fonctionnalité des requêtes SQL via API acceptant les arguments des utilisateurs distants. Grâce à cette fonctionnalité, Maggie peut établir un accès par porte dérobée à l'appareil et exécuter plus de 50 commandes.

En fonction de leurs objectifs spécifiques, les attaquants peuvent demander à Maggie de collecter des informations système, d'exécuter des programmes, de gérer le système de fichiers, de démarrer des services de bureau à distance, etc. Les commandes identifiées comprennent également quatre commandes "Exploit", qui pourraient indiquer que les cybercriminels exploitent des vulnérabilités connues pour certaines actions sur les systèmes piratés.

Le logiciel malveillant Maggie peut également fournir aux pirates la possibilité de se connecter à n'importe quelle adresse IP à la portée du serveur MS-SQL infecté. De plus, pour mieux masquer ses activités, Maggie est équipée de la fonctionnalité proxy SOCKS5 et peut acheminer tous les paquets réseau anormaux via un serveur proxy choisi.