Driver anti-cheat yang rentan untuk video game Genshin Impact telah dimanfaatkan oleh pelaku kejahatan dunia maya untuk menonaktifkan program antivirus guna memfasilitasi penyebaran ransomware, menurut temuan dari Trend Micro.
Infeksi ransomware, yang dipicu pada minggu terakhir Juli 2022, mengandalkan fakta bahwa driver yang dimaksud (“mhyprot2.sys”) ditandatangani dengan sertifikat yang valid, sehingga memungkinkan untuk menghindari hak istimewa dan menghentikan layanan yang terkait dengan aplikasi perlindungan titik akhir.
Genshin Impact adalah Game aksi populer yang dikembangkan dan diterbitkan oleh pengembang miHoYo yang berbasis di Shanghai pada September 2020.
Driver yang digunakan dalam rantai serangan dikatakan telah dibuat pada Agustus 2020, dengan adanya kelemahan dalam modul yang dibahas setelah rilis game, dan mengarah ke eksploitasi yang menunjukkan kemampuan untuk membunuh proses sewenang-wenang dan meningkat ke kernel mode.
Idenya, singkatnya, adalah menggunakan modul driver perangkat yang sah dengan penandatanganan kode yang valid untuk meningkatkan hak istimewa dari mode pengguna ke mode kernel, menegaskan kembali bagaimana musuh terus mencari cara berbeda untuk menyebarkan malware secara diam-diam.
Dalam insiden yang dianalisis oleh Trend Micro, titik akhir yang disusupi milik entitas yang tidak disebutkan namanya digunakan sebagai saluran untuk terhubung ke pengontrol domain melalui protokol desktop jarak jauh (RDP) dan mentransfer ke sana penginstal Windows yang menyamar sebagai AVG Internet Security, yang menjatuhkan dan dieksekusi, antara lain, driver yang rentan.
Tujuannya, kata para peneliti, adalah untuk menyebarkan ransomware secara massal menggunakan pengontrol domain melalui file batch yang menginstal driver, mematikan layanan antivirus, dan meluncurkan muatan ransomware.
Trend Micro menunjukkan bahwa game “tidak perlu diinstal pada perangkat korban agar ini berfungsi,” yang berarti pelaku ancaman dapat dengan mudah menginstal driver anti-cheat sebagai pendahulu penyebaran ransomware.
Kami telah menghubungi miHoYo untuk memberikan komentar, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.
“Masih jarang ditemukan modul dengan penandatanganan kode sebagai driver perangkat yang dapat disalahgunakan,” kata para peneliti. “Modul ini sangat mudah didapat dan akan tersedia untuk semua orang sampai dihapus dari keberadaannya. Modul ini bisa bertahan lama sebagai utilitas yang berguna untuk melewati hak istimewa.”
“Pencabutan sertifikat dan deteksi antivirus mungkin membantu untuk mencegah penyalahgunaan, tetapi tidak ada solusi saat ini karena ini adalah modul yang sah.”
Sumber: The Hackernews
