Maggie-Malware

Forscher von Infosec warnen vor einer neuen Malware, die es bereits geschafft hat, Hunderte von Microsoft SQL-Servern auf der ganzen Welt zu infizieren. Die Bedrohung wird als Maggie nachverfolgt und ist mit einer umfangreichen Reihe von aufdringlichen Funktionen ausgestattet. Opfer der Maggie-Malware befanden sich hauptsächlich in Indien, Südkorea, China, Russland, Vietnam, Thailand, den USA und Deutschland. Details über die Malware wurden kürzlich in einem Bericht von Sicherheitsforschern an die Öffentlichkeit gebracht.

Wenn die Maggie-Malware auf den infizierten Systemen eingesetzt wird, tarnt sie sich als Extended Stored Procedure DLL namens „sqlmaggieAntiVirus_64.dll“, die von einer Firma namens DEEPSoft Co. Ltd. digital signiert wird. Diese Dateien können die Funktionalität von SQL-Abfragen erweitern über API, die entfernte Benutzerargumente akzeptieren. Durch diese Funktion kann Maggie einen Backdoor-Zugriff auf das Gerät einrichten und über 50 Befehle ausführen.

Basierend auf ihren spezifischen Zielen können die Angreifer Maggie anweisen, Systeminformationen zu sammeln, Programme auszuführen, das Dateisystem zu verwalten, Remote-Desktop-Dienste zu starten und vieles mehr. Zu den identifizierten Befehlen gehören auch vier „Exploit“-Befehle, die darauf hindeuten könnten, dass die Cyberkriminellen bekannte Schwachstellen für bestimmte Aktionen auf den angegriffenen Systemen ausnutzen.

Die Maggie-Malware kann den Hackern auch die Möglichkeit geben, sich mit jeder IP-Adresse innerhalb der Reichweite des infizierten MS-SQL-Servers zu verbinden. Um seine Aktivitäten besser zu maskieren, ist Maggie außerdem mit der SOCKS5-Proxy-Funktionalität ausgestattet und kann alle anormalen Netzwerkpakete über einen ausgewählten Proxy-Server leiten.