C'è un nuovo malware là fuori, che prende di mira i server SQL di Microsoft ed è in grado di eseguire programmi, spiare dati, intrufolarsi in altri server SQL e dozzine di altre cose pericolose.
Il malware (si apre in una nuova scheda), scoperto dagli analisti di sicurezza informatica DSCO CyTec, è stato soprannominato Maggie. Maggie viene distribuito affermando di essere un file DLL di stored procedure esteso, un file firmato digitalmente da una presunta società sudcoreana chiamata DEEPSoft.
I file di stored procedure estese in genere estendono la funzionalità delle query SQL tramite un'API che accetta accordi utente remoti e funziona con dati non strutturati. Nel caso di Maggie, questa funzione viene abusata per consentire agli hacker un totale di 51 comandi diversi, alcuni dei quali sono già stati menzionati.
obiettivi paesi asiatici
Maggie stessa è controllata da query SQL, che le dicono quali comandi eseguire e quali file utilizzare.
Secondo i ricercatori, il malware ha già infettato centinaia di terminali in tutto il mondo, la maggior parte dei quali si trova in Corea del Sud, India, Vietnam, Cina, Russia, Tailandia, Germania e Stati Uniti.
Sapendo che Maggie attacca i server Microsoft SQL e ha un lungo elenco di funzionalità, si può presumere che sia stato progettato come strumento di spionaggio aziendale. Tuttavia, i ricercatori non sono stati in grado di determinare chi sono gli autori delle minacce dietro Maggie, da dove operano, chi attaccano, come sono riusciti a posizionare il malware su questi server (si apre in una nuova scheda) e per quale scopo.
"Per installare Maggie, un utente malintenzionato deve essere in grado di inserire un file ESP in una directory accessibile dal server MSSQL e deve disporre di credenziali valide per caricare Maggie ESP sul server", hanno spiegato i ricercatori. "Non è chiaro come venga effettuato un vero attacco con Maggie nel mondo reale."
L'elenco completo dei comandi finora identificati è disponibile a questo link (si apre in una nuova scheda).
Via: BleepingComputer (si apre in una nuova scheda)