Un actor de ciberdelincuencia ha aprovechado un controlador anti-trampas vulnerable para el videojuego Genshin Impact para deshabilitar los programas antivirus y facilitar la implementaci\u00f3n de ransomware, seg\u00fan los hallazgos de Trend Micro.<\/p>\n
La infecci\u00f3n de ransomware, que se desencaden\u00f3 en la \u00faltima semana de julio de 2022, cont\u00f3 con el hecho de que el controlador en cuesti\u00f3n (“mhyprot2.sys”) est\u00e1 firmado con un certificado v\u00e1lido, lo que permite eludir los privilegios y cancelar los servicios asociados con aplicaciones de protecci\u00f3n de punto final.<\/p>\n
Genshin Impact es un popular juego de rol de acci\u00f3n que fue desarrollado y publicado por el desarrollador miHoYo con sede en Shangh\u00e1i en septiembre de 2020.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\nSe dice que el controlador utilizado en la cadena de ataque se construy\u00f3 en agosto de 2020, con la existencia de la falla en el m\u00f3dulo. discutido<\/a> despu\u00e9s del lanzamiento del juego, y que lleva a explota<\/a> demostrando<\/a> la capacidad de matar cualquier proceso arbitrario y escalar al modo kernel.<\/p>\n La idea, en pocas palabras, es usar el m\u00f3dulo de controlador de dispositivo leg\u00edtimo con una firma de c\u00f3digo v\u00e1lida para escalar los privilegios del modo usuario al modo kernel, reafirmando c\u00f3mo los adversarios buscan constantemente diferentes formas de implementar malware de manera sigilosa.<\/p>\n “El actor de amenazas ten\u00eda como objetivo implementar ransomware dentro del dispositivo de la v\u00edctima y luego propagar la infecci\u00f3n”, los analistas de respuesta a incidentes Ryan Soliven y Hitomi Kimura. dijo<\/a>.<\/p>\n “Las organizaciones y los equipos de seguridad deben tener cuidado debido a varios factores: la facilidad de obtener el m\u00f3dulo mhyprot2.sys, la versatilidad del controlador en t\u00e9rminos de eludir privilegios y la existencia de pruebas de concepto (PoC) bien hechas”.<\/p>\n En el incidente analizado por Trend Micro, un punto final comprometido perteneciente a una entidad no identificada se utiliz\u00f3 como conducto para conectarse al controlador de dominio a trav\u00e9s del protocolo de escritorio remoto (RDP) y transferirle un instalador de Windows que se hac\u00eda pasar por AVG Internet Security, que cay\u00f3 y ejecut\u00f3, entre otros archivos, el controlador vulnerable.<\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1662387911_575_Los-atacantes-de-ransomware-abusan-del-sistema-Genshin-Impact-Anti-Cheat.jpg\")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n