Genshin Impact ha tenido varias actualizaciones a lo largo de su vida, agregando nuevos personajes, extensiones de historia y otras características al título. Sin embargo, el informe de hoy tiene una connotación mucho más negativa en lo que se refiere a la función anti-trampas del juego; posteriormente, también habla sobre cómo se abusa de esta función.
Cuando se trata de sistemas anti-trampas, es posible que haya oído hablar de algunos populares como EasyAntiCheat y BattlEye. Genshin Impact tiene un archivo anti-trampas completamente único conocido como mhyprot2.sys, que miHoYo agregó inicialmente al juego para evitar trampas. Hacia fines de julio de 2022, en un informe de TrendMicro, algunos equipos de seguridad se dieron cuenta de que el juego tendría problemas mucho más importantes relacionados con ese mismo archivo.
Dicho esto, el anti-cheat para Genshin funciona como un controlador de dispositivo y tiene autorización a nivel de kernel dentro de su computadora. Por suerte, se abusaría de este archivo para eludir varias medidas de seguridad y, en última instancia, eliminaría los procesos de protección de puntos finales. Esto también se vuelve más profundo; debido a lo fácil que es encontrar la versatilidad de omisión del controlador, entre otras cuestiones, las organizaciones deben tener mucho cuidado con sus sistemas y verificar si este archivo está dentro de su sistema.
A continuación, la versión infectada de este anti-trampas vendría junto con una matar.svc archivo, que instala el servicio y ejecuta un falso antivirus AVG, descargando varios archivos como ransomware. Este ransomware también cerraría varios otros compuestos antivirus que normalmente protegerían a los usuarios (se muestra en una prueba de concepto proporcionada por un usuario a TrendMicro, que cerró 360 Total Security).
La carga útil del ransomware también comienza a cifrar archivos y los vuelve inutilizables, y también se puede implementar en otras computadoras a través de un proceso PsExec. Lo que es potencialmente más peligroso de esto es que, en teoría, si este ransomware llega a un edificio de oficinas con su propio dominio, ninguna computadora en ese edificio estaría segura si los archivos estuvieran en ese dominio.
Ahora, este ha sido un problema constante que ha plagado el juego de Hoyoverse por un tiempo. Como se vio antes, mhyprot2.sys se ha utilizado para distribuir archivos DLL anteriormente. No parece que a Hoyoverse le importe o sepa cómo solucionar esto, dado que se les informó, pero no se reconoció como una vulnerabilidad.
Por supuesto, esto también significa que no se proporcionó una solución para este problema. Sin embargo, cabe señalar que en el futuro, si son aún usa Genshin Impact, tenga mucho cuidado con los archivos que descarga y asegúrese de verificar los registros de eventos de su computadora para ver si hay instalaciones de servicio. O eso o jugar el juego a través de GeForce NOW, supongo. Continuaremos actualizando a medida que se publique más información sobre la situación del ransomware Genshin Impact.