histats

Le fichier anti-triche dans Genshin Impact est utilisé pour les attaques de ransomware

Le fichier anti-triche dans Genshin Impact est utilisé pour les attaques de ransomware

Un groupe de pirates obtient de l’aide pour diffuser un rançongiciel à partir d’une source improbable : le jeu Genshin Impact.

Plus précisément, un attaquant de ransomware a réquisitionné un pilote anti-triche dans le jeu, appelé mhyprot2.sys, selon(Ouvre dans une nouvelle fenêtre) à la société de cybersécurité Trend Micro. Raison? Le même pilote anti-triche peut être utilisé pour tuer les processus antivirus sur un PC.

Trend Micro a découvert la tactique le mois dernier alors qu’il enquêtait sur une infection par ransomware sur un ordinateur dont la protection antivirus était correctement configurée. “En analysant la séquence, nous avons découvert qu’un pilote signé par code nommé” mhyprot2.sys “, qui fournit les fonctionnalités anti-triche pour Genshin Impact en tant que pilote de périphérique, a été utilisé à mauvais escient pour contourner les privilèges”, a déclaré la société.

Cela a permis à l’infection du rançongiciel d’utiliser les commandes du noyau pour arrêter les processus de détection antivirus. De plus, l’attaquant a pu exécuter des commandes du noyau sans Genshin Impact installé sur le matériel. Le fichier du pilote mhyprot2.sys a simplement été transféré sur le PC de la victime après que le pirate a obtenu un accès à distance.

L'attaque

(Crédit : Trend Micro)

“Ce rançongiciel était simplement le premier cas d’activité malveillante que nous avons détecté”, a ajouté Trend Micro. “L’acteur de la menace visait à déployer un rançongiciel dans l’appareil de la victime, puis à propager l’infection.”

Le fichier mhyprot2.sys utilisé dans l’attaque a été construit en août 2020. En tant que pilote anti-triche, il possède des fonctionnalités puissantes, notamment la possibilité d’accéder à des ressources privilégiées sur un PC. En octobre 2020, il a même développé un utilisateur GitHub(Ouvre dans une nouvelle fenêtre) une technique de preuve de concept qui montre comment le fichier du pilote peut être abusé pour tuer les processus système, y compris l’arrêt d’un produit antivirus chinois.

See also  REvil begins posting stolen data, Medicare details, online early Wednesday

Le fichier du pilote possède également un certificat de signature de code légitime, ce qui signifie qu’il peut être installé sur un système Windows et reconnu comme un programme de confiance. En conséquence, Trend Micro prévient « ce module est très facile à obtenir et sera accessible à tous jusqu’à ce qu’il soit supprimé de l’existence. Cela peut rester longtemps un outil utile pour contourner les privilèges.”

Recommandé par nos rédacteurs

En réponse au rapport de Trend Micro, miHoYo, développeur de Genshin Impact, propose une solution pour atténuer la menace. “L’équipe HoYovere prend la sécurité des informations très au sérieux. Nous travaillons actuellement sur cette question et trouverons une solution dès que possible pour assurer la sécurité des joueurs et arrêter les abus potentiels de la fonction anti-triche. Nous vous tiendrons au courant au fur et à mesure que nous avancerons progress , a déclaré le développeur dans un communiqué.

Cependant, Trend Micro indique qu’il peut être difficile d’éliminer complètement la menace, même si le certificat de signature de code valide pour le fichier du pilote est révoqué.

“Tous les produits de sécurité ne sont pas déployés de la même manière et peuvent avoir une vérification des certificats à différents niveaux de la pile ou ne pas vérifier du tout”, a déclaré Jamz Yaneza, chercheur chez Trend Micro, dans un e-mail. “Lorsqu’il est configuré correctement, ou pas du tout, le blocage à l’aide de la liste de rejet fonctionne. Vous trouverez une mise en œuvre plus stricte de cette approche basée sur les risques dans la plupart des environnements de travail. Cependant, sur le point final du consommateur et l’utilisation de cette version des produits peut ne pas fournir la même résultat, car la prévention de la conduite via la validation du certificat numérique en tant que fonctionnalité peut même ne pas être une option. »

See also  Big hack sur les jeux pour gagner des jeux cryptographiques "une question de temps": Rapport

Aimez-vous ce que vous lisez?

S’inscrire SecurityWatch newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *