Un actor de ciberdelincuencia ha aprovechado un controlador anti-trampas vulnerable para el videojuego Genshin Impact para deshabilitar los programas antivirus y facilitar la implementación de ransomware, según los hallazgos de Trend Micro.
La infección de ransomware, que se desencadenó en la última semana de julio de 2022, contó con el hecho de que el controlador en cuestión («mhyprot2.sys») está firmado con un certificado válido, lo que permite eludir los privilegios y cancelar los servicios asociados con aplicaciones de protección de punto final.
Genshin Impact es un popular juego de rol de acción que fue desarrollado y publicado por el desarrollador miHoYo con sede en Shanghái en septiembre de 2020.
Se dice que el controlador utilizado en la cadena de ataque se construyó en agosto de 2020, con la existencia de la falla en el módulo. discutido después del lanzamiento del juego, y que lleva a explota demostrando la capacidad de matar cualquier proceso arbitrario y escalar al modo kernel.
La idea, en pocas palabras, es usar el módulo de controlador de dispositivo legítimo con una firma de código válida para escalar los privilegios del modo usuario al modo kernel, reafirmando cómo los adversarios buscan constantemente diferentes formas de implementar malware de manera sigilosa.
«El actor de amenazas tenía como objetivo implementar ransomware dentro del dispositivo de la víctima y luego propagar la infección», los analistas de respuesta a incidentes Ryan Soliven y Hitomi Kimura. dijo.
«Las organizaciones y los equipos de seguridad deben tener cuidado debido a varios factores: la facilidad de obtener el módulo mhyprot2.sys, la versatilidad del controlador en términos de eludir privilegios y la existencia de pruebas de concepto (PoC) bien hechas».
En el incidente analizado por Trend Micro, un punto final comprometido perteneciente a una entidad no identificada se utilizó como conducto para conectarse al controlador de dominio a través del protocolo de escritorio remoto (RDP) y transferirle un instalador de Windows que se hacía pasar por AVG Internet Security, que cayó y ejecutó, entre otros archivos, el controlador vulnerable.
El objetivo, dijeron los investigadores, era implementar en masa el ransomware para usar el controlador de dominio a través de un archivo por lotes que instala el controlador, elimina los servicios antivirus y lanza la carga útil del ransomware.
Trend Micro señaló que el juego «no necesita estar instalado en el dispositivo de la víctima para que esto funcione», lo que significa que los actores de amenazas pueden simplemente instalar el controlador anti-trampas como un precursor de la implementación del ransomware.
Nos comunicamos con miHoYo para obtener comentarios y actualizaremos la historia si recibimos una respuesta.
«Todavía es raro encontrar un módulo con firma de código como controlador de dispositivo del que se pueda abusar», dijeron los investigadores. «Este módulo es muy fácil de obtener y estará disponible para todos hasta que se elimine de la existencia. Podría permanecer durante mucho tiempo como una utilidad útil para eludir los privilegios».
«La revocación de certificados y la detección antivirus pueden ayudar a desalentar el abuso, pero no hay soluciones en este momento porque es un módulo legítimo».