Maggie Malware

Los investigadores de Infosec advierten sobre una nueva pieza de malware que ya ha logrado infectar cientos de servidores Microsoft SQL repartidos por todo el mundo. La amenaza se rastrea como Maggie y está equipada con un amplio conjunto de características intrusivas. Las víctimas del malware Maggie se encuentran principalmente en India, Corea del Sur, China, Rusia, Vietnam, Tailandia, Estados Unidos y Alemania. Recientemente, los investigadores de seguridad revelaron al público detalles sobre el malware en un informe.

Cuando se implementa en los sistemas infectados, el malware Maggie se disfrazará como una DLL de procedimiento almacenado extendido denominada 'sqlmaggieAntiVirus_64.dll', que será firmada digitalmente por una empresa denominada DEEPSoft Co. Ltd. Estos archivos pueden ampliar la funcionalidad de las consultas SQL a través de API que acepta argumentos de usuario remoto. A través de esta funcionalidad, Maggie puede establecer un acceso de puerta trasera al dispositivo y ejecutar más de 50 comandos.

Según sus objetivos específicos, los atacantes pueden indicarle a Maggie que recopile información del sistema, ejecute programas, administre el sistema de archivos, inicie servicios de escritorio remoto y más. Los comandos identificados también incluyen cuatro de 'Explotar', lo que podría indicar que los ciberdelincuentes están explotando vulnerabilidades conocidas para ciertas acciones en los sistemas violados.

El malware Maggie también puede proporcionar a los piratas informáticos la capacidad de conectarse a cualquier dirección IP dentro del alcance del servidor MS-SQL infectado. Además, para enmascarar mejor sus actividades, Maggie está equipada con la funcionalidad de proxy SOCKS5 y puede enrutar todos los paquetes de red anormales a través de un servidor proxy elegido.