{"id":349540,"date":"2022-09-05T11:02:32","date_gmt":"2022-09-05T13:02:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-attaquants-de-ransomware-abusent-du-systeme-anti-triche-genshin-impact-pour-desactiver-lantivirus\/"},"modified":"2022-09-05T11:02:33","modified_gmt":"2022-09-05T13:02:33","slug":"les-attaquants-de-ransomware-abusent-du-systeme-anti-triche-genshin-impact-pour-desactiver-lantivirus","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-attaquants-de-ransomware-abusent-du-systeme-anti-triche-genshin-impact-pour-desactiver-lantivirus\/","title":{"rendered":"Les attaquants de ransomware abusent du syst\u00e8me anti-triche Genshin Impact pour d\u00e9sactiver l&#8217;antivirus"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un pilote anti-triche vuln\u00e9rable pour le jeu vid\u00e9o Genshin Impact a \u00e9t\u00e9 exploit\u00e9 par un acteur du cybercrime pour d\u00e9sactiver les programmes antivirus afin de faciliter le d\u00e9ploiement de ransomwares, selon les conclusions de Trend Micro.<\/p>\n<p>L&#8217;infection par le ran\u00e7ongiciel, qui s&#8217;est d\u00e9clench\u00e9e la derni\u00e8re semaine de juillet 2022, a mis\u00e9 sur le fait que le pilote en question (&#8220;mhyprot2.sys&#8221;) est sign\u00e9 avec un certificat valide, permettant ainsi de contourner les privil\u00e8ges et de mettre fin aux services associ\u00e9s \u00e0 applications de protection des terminaux.<\/p>\n<p>Genshin Impact est un jeu de r\u00f4le d&#8217;action populaire qui a \u00e9t\u00e9 d\u00e9velopp\u00e9 et publi\u00e9 par le d\u00e9veloppeur miHoYo bas\u00e9 \u00e0 Shanghai en septembre 2020.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Le pilote utilis\u00e9 dans la cha\u00eene d&#8217;attaque aurait \u00e9t\u00e9 construit en ao\u00fbt 2020, avec l&#8217;existence de la faille dans le module <a rel=\"nofollow noopener\" href=\"https:\/\/www.unknowncheats.me\/forum\/anti-cheat-bypass\/419457-mhyprot2-read-process-kernel-memory-valid-signature-driver-2.html\" target=\"_blank\">discut\u00e9<\/a> apr\u00e8s la sortie du jeu, et menant \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/kagurazakasanae\/Mhyprot2DrvControl\" target=\"_blank\">exploits<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/kkent030315\/evil-mhyprot-cli\" target=\"_blank\">d\u00e9montrer<\/a> la possibilit\u00e9 de tuer n&#8217;importe quel processus arbitraire et de passer en mode noyau.<\/p>\n<p>L&#8217;id\u00e9e, en un mot, est d&#8217;utiliser le module de pilote de p\u00e9riph\u00e9rique l\u00e9gitime avec une signature de code valide pour \u00e9lever les privil\u00e8ges du mode utilisateur au mode noyau, r\u00e9affirmant \u00e0 quel point les adversaires recherchent constamment diff\u00e9rentes fa\u00e7ons de d\u00e9ployer furtivement des logiciels malveillants.<\/p>\n<p>&#8220;L&#8217;acteur de la menace visait \u00e0 d\u00e9ployer un ran\u00e7ongiciel dans l&#8217;appareil de la victime, puis \u00e0 propager l&#8217;infection&#8221;, ont d\u00e9clar\u00e9 Ryan Soliven et Hitomi Kimura, analystes de la r\u00e9ponse aux incidents. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/h\/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>&#8220;Les organisations et les \u00e9quipes de s\u00e9curit\u00e9 doivent \u00eatre prudentes en raison de plusieurs facteurs\u00a0: la facilit\u00e9 d&#8217;obtention du module mhyprot2.sys, la polyvalence du pilote en termes de contournement des privil\u00e8ges et l&#8217;existence de preuves de concept (PoC) bien faites.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"653\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1662382952_52_Les-attaquants-de-ransomware-abusent-du-systeme-anti-triche-Genshin-Impact.jpg\" \/><\/div>\n<p>Dans l&#8217;incident analys\u00e9 par Trend Micro, un terminal compromis appartenant \u00e0 une entit\u00e9 anonyme a \u00e9t\u00e9 utilis\u00e9 comme conduit pour se connecter au contr\u00f4leur de domaine via le protocole de bureau \u00e0 distance (RDP) et lui transf\u00e9rer un programme d&#8217;installation Windows se faisant passer pour AVG Internet Security, qui a abandonn\u00e9 et ex\u00e9cut\u00e9, entre autres fichiers, le pilote vuln\u00e9rable.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>L&#8217;objectif, selon les chercheurs, \u00e9tait de d\u00e9ployer en masse le ransomware pour utiliser le contr\u00f4leur de domaine via un fichier de commandes qui installe le pilote, tue les services antivirus et lance la charge utile du ransomware.<\/p>\n<p>Trend Micro a soulign\u00e9 que le jeu &#8220;n&#8217;a pas besoin d&#8217;\u00eatre install\u00e9 sur l&#8217;appareil de la victime pour que cela fonctionne&#8221;, ce qui signifie que les pirates peuvent simplement installer le pilote anti-triche comme pr\u00e9curseur du d\u00e9ploiement du ransomware.<\/p>\n<p>Nous avons contact\u00e9 miHoYo pour un commentaire, et nous mettrons \u00e0 jour l&#8217;histoire si nous vous r\u00e9pondons.<\/p>\n<p>&#8220;Il est encore rare de trouver un module avec signature de code en tant que pilote de p\u00e9riph\u00e9rique qui puisse \u00eatre abus\u00e9&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Ce module est tr\u00e8s facile \u00e0 obtenir et sera accessible \u00e0 tous jusqu&#8217;\u00e0 ce qu&#8217;il soit effac\u00e9 de l&#8217;existence. Il pourrait rester longtemps comme un utilitaire utile pour contourner les privil\u00e8ges.&#8221;<\/p>\n<p>&#8220;La r\u00e9vocation des certificats et la d\u00e9tection antivirus peuvent aider \u00e0 d\u00e9courager les abus, mais il n&#8217;y a pas de solutions pour le moment car il s&#8217;agit d&#8217;un module l\u00e9gitime.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/ransomware-attackers-abuse-genshin.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un pilote anti-triche vuln\u00e9rable pour le jeu vid\u00e9o Genshin Impact a \u00e9t\u00e9 exploit\u00e9 par un acteur du cybercrime pour d\u00e9sactiver les programmes antivirus afin de faciliter le d\u00e9ploiement de ransomwares, selon les conclusions de Trend Micro. L&#8217;infection par le ran\u00e7ongiciel, qui s&#8217;est d\u00e9clench\u00e9e la derni\u00e8re semaine de juillet 2022, a mis\u00e9 sur le fait que [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":349541,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[22357,106332,11865,4168,4158,4165,4161,24853,106333,7500,4157,4159,4171,4170,28057,65,4167,4160,4163,4162,185,4392,4172,4169,2622,4166,4164],"class_list":["post-349540","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-abusent","tag-antitriche","tag-attaquants","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-desactiver","tag-genshin","tag-impact","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lantivirus","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-systeme","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/349540","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=349540"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/349540\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/349541"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=349540"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=349540"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=349540"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}