El archivo Anti-Cheat en Genshin Impact se está utilizando para ataques de ransomware

Un grupo de hackers está recibiendo ayuda para difundir su ransomware de una fuente poco probable: el juego Genshin Impact.

Específicamente, un atacante de ransomware se apoderó de un controlador antitrampas en el juego, llamado mhyprot2.sys, según(Se abre en una nueva ventana) a la empresa de ciberseguridad Trend Micro. ¿La razón? El mismo controlador antitrampas se puede usar para eliminar los procesos antivirus en una PC.

Trend Micro descubrió la táctica el mes pasado mientras investigaba una infección de ransomware en una computadora que tenía su protección antivirus configurada correctamente. “Al analizar la secuencia, encontramos que un controlador firmado con código llamado ‘mhyprot2.sys’, que proporciona las funciones antitrampas para Genshin Impact como controlador de dispositivo, estaba siendo abusado para eludir los privilegios”, dijo la compañía.

Esto permitió que la infección de ransomware usara los comandos del kernel para cerrar los procesos de detección del antivirus. Además, el atacante pudo ejecutar los comandos del kernel sin que Genshin Impact estuviera instalado en el hardware. El archivo del controlador mhyprot2.sys simplemente se transfirió a la PC de la víctima después de que el pirata informático obtuviera acceso remoto.

(Crédito: Trend Micro)

“Este ransomware fue simplemente la primera instancia de actividad maliciosa que notamos”, agregó Trend Micro. “El actor de amenazas tenía como objetivo implementar ransomware dentro del dispositivo de la víctima y luego propagar la infección”.

El archivo mhyprot2.sys utilizado en el ataque se creó en agosto de 2020. Como controlador antitrampas, tiene funciones potentes, incluida la capacidad de acceder a recursos privilegiados en una PC. En octubre de 2020, un usuario de GitHub incluso desarrolló(Se abre en una nueva ventana) una técnica de prueba de concepto que muestra cómo se puede abusar del archivo del controlador para eliminar los procesos del sistema, incluido el cierre de un producto antivirus chino.

El archivo del controlador también posee un certificado de firma de código legítimo, lo que significa que puede instalarse en un sistema Windows y ser reconocido como un programa confiable. Como resultado, Trend Micro advierte que “este módulo es muy fácil de obtener y estará disponible para todos hasta que se borre de la existencia. Podría permanecer durante mucho tiempo como una utilidad útil para eludir los privilegios”.

En respuesta al informe de Trend Micro, el desarrollador de Genshin Impact, miHoYo, presenta una solución para mitigar la amenaza. “El equipo de HoYoverse se toma muy en serio la seguridad de la información. Actualmente estamos trabajando en este caso y obtendremos una solución lo antes posible para salvaguardar la seguridad de los jugadores y detener el posible abuso de la función antitrampas. Los mantendremos informados una vez que tengamos más avances”, dijo el desarrollador en un comunicado.

Sin embargo, Trend Micro dice que podría ser difícil acabar con la amenaza por completo, incluso si se revoca el certificado de firma de código válido para el archivo del controlador.

“No todos los productos de seguridad se implementan de la misma manera y pueden tener verificación de certificados en diferentes niveles de la pila o pueden no verificar en absoluto”, dijo el investigador de Trend Micro, Jamz Yaneza, en un correo electrónico. “Cuando se configura correctamente, o en absoluto, el bloqueo mediante la lista de denegación funciona. Encontrará una implementación más rigurosa de este enfoque basado en el riesgo en la mayoría de los entornos de trabajo. Sin embargo, en el punto final del consumidor y el uso de esa versión de productos puede que no obtenga el mismo resultado, ya que la prevención de la ejecución a través de la validación de certificados digitales como función puede no ser una opción”.