Los hackers no tienen respeto por nada ni por nadie. Les da igual usar el nombre de la fallecida Reina Isabel II para sus delictivos planes, que el de uno de los personajes de dibujos animados más entrañables, inofensivos y queridos del mundo, como lo es Maggie Simpson.
Los investigadores de seguridad han descubierto un nuevo malware que se dirige a los servidores de Microsoft SQL. La puerta trasera o backdoor Maggie ya ha infectado cientos de ordenadores en todo el mundo.
Maggie está impulsada por SQL. Sus capacidades incluyen el hackeo de inicios de sesión de administrador en otros servidores Microsoft SQL y la duplicación como puente al entorno de red del servidor.
La puerta trasera o backdoor fue descubierta por los analistas de DCSO CyTec. Los datos de telemetría muestran que Maggie es más común en Corea del Sur, India, Vietnam, China, Tailandia, Alemania y Estados Unidos.
Mapa de infecciones de Maggie
El análisis de malware reveló que Maggie se hace pasar por una DLL de procedimiento almacenado extendido firmada digitalmente por DEEPSoft Co. Ltd, con sede en Corea del Sur.
Los archivos de procedimientos almacenados extendidos amplían la funcionalidad de las consultas SQL mediante el uso de una API que acepta argumentos de usuarios remotos y responde con datos no estructurados.
Esto permite el acceso remoto a la puerta trasera o backdoor mediante un conjunto de 51 comandos. Los comandos le permiten a Maggie realizar varias acciones, que incluyen:
- Solicitar información del sistema.
- Ejecutar programas.
- Interactuar con archivos y carpetas.
- Habilitar servicios de escritorio remoto (TermService).
- Ejecuta un proxy SOCKS5 para enrutar todos los paquetes de red, haciendo que la puerta trasera o backdoor sea invisible al configurar el reenvío de puertos.
- Elige una contraseña de administrador.
- Agrega una cuenta de operador de puerta trasera o backdoor codificada.
Además, cuatro comandos de explotación permiten a los ciberdelincuentes infiltrados explotar vulnerabilidades conocidas para fines específicos, por ejemplo, para agregar un nuevo usuario intruso.
El malware también ofrece una función de redirección TCP que permite a un atacante remoto conectarse a cualquier dirección IP a la que pueda acceder el servidor MS-SQL infectado.
Si esta función está habilitada, Maggie redirigirá cualquier conexión entrante a la dirección IP y el puerto establecidos. En la actualidad, se desconocen algunos detalles, como quién está directamente detrás de los ataques, cómo se usa Maggie después de la infección y cómo se inyecta en los servidores.
