Contacto
Links
Menú
Ubicacion
Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.
octubre 14, 2022
Maggie ha surgido como un nuevo malware. La puerta trasera ya se ha extendido a cientos de computadoras y está diseñada específicamente para atacar servidores Microsoft SQL.
Los analistas de DCSO CyTec encontraron el malware Maggie y los datos muestran que algunas naciones, incluidos Estados Unidos, India, Corea del Sur y China, tienen tasas de distribución más altas.
El backdoor Maggie fue descubierto en 285 servidores en 42 países de los casi 600.000 servidores escaneados.
Somos una consultoría especializada en la seguridad de información, que por medio de una gama de consultores expertos en la materia, brindamos soluciones a los problemas tecnológicos que enfrentan las diferentes industrias.
El malware administrado por consultas SQL y admite 51 comandos, incluidos ejecutar programas, ejecutar procesos, interactuar con archivos, instalar servicios de escritorio remoto y configurar el reenvío de puertos .
Puede forzar los inicios de sesión del administrador en otros servidores Microsoft SQL con los comandos SqlScan y WinSockScan. Se agrega un usuario de puerta trasera codificado al servidor si tiene éxito.
El malware también da instrucciones para los argumentos que los atacantes podrían agregar a algunos de los comandos.
Maggie se cubre a sí misma como una DLL de procedimiento almacenado extendido (sqlmaggieAntiVirus_64.dll) . Estos archivos emplean una API para permitir que los usuarios remotos presenten argumentos en consultas SQL. El archivo está firmado digitalmente por DEEPSoft Co. Ltd. , una empresa de Corea del Sur.
También se incluyen cuatro comandos de explotación en la lista de comandos:
Se sugiere que los atacantes podrían usar algunas vulnerabilidades conocidas. Estos exploits , los analistas no pudieron probar los comandos ya que parecen depender de una DLL que no está incluida con Maggie.
La vulnerabilidad fue ocasionada por una falla de código en la actualización de la plataforma en junio de 2021 y permaneció activa hasta que la empresa la descubrió a través del programa de detección de vulnerabilidades (bug bounty) HackerOne.
El sitio Restore Privacy reveló que una base de datos con 5.48 millones de cuentas de Twitter había sido puesta a la venta por 30,000 dólares en un foro de compraventa de información.
La base de datos ahora se ofrece de forma gratuita en el mismo foro. Un archivo comprimido de medio gigabyte se traduce en una base de datos con 5.38 millones de números de identificación de usuarios de Twitter, junto a sus correos electrónicos, números de teléfono, direcciones URL de imágenes de perfil, ubicaciones, número de seguidores, descripciones de usuario o si la cuenta está verificada o no.
El sitio HaveIbeenpwned.com, donde una persona puede comprobar si sus cuentas de correo electrónico o su número telefónico han sido vulnerados, ha incluido la base de datos de entre las colecciones de información comprometida que utiliza para identificar aquellos correos o números telefónicos que fueron robados en algún incidente de seguridad.
Debido a que Maggie tiene la capacidad de redirección TCP , puede actuar como un puente de red desde Internet a cualquier dirección IP a la que pueda acceder el servidor MSSQL comprometido.
Si la dirección IP de origen coincide con una máscara de IP especificada por el usuario, el malware puede redirigir cualquier conexión entrante (en cualquier puerto en el que esté escuchando el servidor MSSQL ) a una IP y un puerto previamente determinados.
Cualquier IP de conexión puede utilizar el servidor sin ninguna intervención o conocimiento de Maggie, gracias a la capacidad de la implementación para permitir la reutilización de puertos, lo que hace que la redirección sea transparente para los usuarios autorizados.
Maggie también incluye la funcionalidad de proxy SOCKS5 para operaciones de red más complicadas.
Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.