Античит-система игры позволяет отобрать у игрока компьютер

Хакеры используют античит-систему популярной игры Genshin Impact, чтобы отключить антивирусное ПО при проведении атак программ-вымогателей.

Античит-драйверу игры «mhypro2.sys» содержит уязвимость, которая позволяет злоумышленнику отключить систему безопасности. Более того, драйверу не нужна целевая система для установки игры, и он может работать независимо или даже быть встроенным во вредоносное ПО, позволяя злоумышленнику отключить систему безопасности.

Уязвимость драйвера известна с 2020 года и дает доступ к памяти любого процесса/ядра и возможность завершать процессы, используя самые высокие привилегии.

В новом отчете Trend Micro исследователи обнаружили, что злоумышленник использует уязвимость драйвера с конца июля 2022 года для отключения защиты устройств.

Киберпреступник подключился к контроллеру домена через RDP, используя украденные учетные данные администратора. Затем он перенес «mhyprot2.sys» на рабочий стол вместе с вредоносным исполняемым файлом «kill_svc.exe», который используется для установки драйвера.

Хакер загрузил драйвер, программу-вымогатель и исполняемый файл «kill_svc.exe» в общий сетевой ресурс для массового развертывания, чтобы заразить больше рабочих станций.

Trend Micro не сообщила, какие программы-вымогатели использовались в этих атаках.

Trend Micro предупреждает, что хакеры могут активно использовать античит-драйвер даже после исправления уязвимости, поскольку его старые версии будут продолжать распространяться.

Исследователь безопасности Кевин Бомонт сообщает, что администраторы могут защититься от этой угрозы, заблокировав хэш «0466e90bf0e83b776ca8716e01d35a8a2e5f96d3» в своем решении безопасности, который соответствует уязвимому драйверу «mhypro2.sys».

Также ИБ-специалисты должны отслеживать журналы событий для конкретной установки службы с именем «mhyprot2».