Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/hackers-abuse-genshin-impact-anti-cheat-system-to-disable-antivirus/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Os hackers estão abusando de um driver de sistema anti-fraude para o imensamente popular jogo Genshin Impact para desabilitar o software antivírus durante a realização de ataques de ransomware.
O driver/módulo, "mhypro2.sys", não precisa do sistema de destino para ter o jogo instalado e pode operar de forma independente ou até mesmo incorporado em malware, oferecendo aos agentes de ameaças uma poderosa vulnerabilidade que pode desabilitar o software de segurança.
O driver vulnerável é conhecido desde 2020 e dá acesso a qualquer processo/memória do kernel e a capacidade de encerrar processos usando os privilégios mais altos.
Os pesquisadores relataram o problema ao fornecedor várias vezes no passado. No entanto, o certificado de assinatura de código não foi revogado, portanto, o programa ainda pode ser instalado no Windows sem acionar nenhum alarme.
Para piorar a situação, houve pelo menos duas explorações de prova de conceito [1, 2] no GitHub desde 2020, com detalhes completos sobre como ler/gravar memória do kernel com privilégios do modo kernel do modo de usuário, enumerar threads e encerrar processos.
Abusando do sistema antifraude do Genshin Impact
Em um novo relatório da Trend Micro, os pesquisadores viram evidências de agentes de ameaças que abusam desse driver desde o final de julho de 2022, com agentes de ransomware usando-o para desabilitar soluções de proteção de endpoint configuradas corretamente.
Os agentes de ameaças usaram 'secretsdump' e 'wmiexec' em um endpoint de destino e, em seguida, conectaram-se ao controlador de domínio via RDP usando as credenciais de administrador capturadas.
A primeira ação tomada na máquina comprometida foi transferir o mhyprot2.sys para a área de trabalho junto com um executável malicioso 'kill_svc.exe', que é usado para instalar o driver.
Em seguida, os invasores descartaram 'avg.msi', que, por sua vez, descarta e executa os quatro arquivos a seguir:
logon.bat – Um arquivo em lote que executa HelpPane.exe, elimina antivírus e outros serviços e executa svchost.exe
HelpPane.exe – Um arquivo malicioso disfarçado como executável de Ajuda e Suporte da Microsoft; semelhante ao kill_svc.exe, ele instala o mhyprot2.sys e elimina os serviços antivírus
mhyprot2.sys – O vulnerável driver anti-fraude Genshin Impact
svchost.exe – A carga útil do ransomware
A Trend Micro comenta que os agentes de ameaças tentaram e falharam três vezes para criptografar os arquivos na estação de trabalho atacada, mas os serviços antivírus foram desabilitados com sucesso. Eventualmente, os adversários moveram "logon.bat" na área de trabalho e o executaram manualmente, o que funcionou.
Lançamento manual do HelpPane.exe (Trend Micro)
Por fim, o agente da ameaça carregou o driver, o ransomware e o executável 'kill_svc.exe' em um compartilhamento de rede para implantação em massa, com a intenção de infectar mais estações de trabalho.
Visão geral do ataque do ator de ransomware (Trend Micro)
A Trend Micro não compartilhou qual ransomware estava sendo usado nesses ataques.
Protegendo seus dispositivos
A Trend Micro avisa que a implantação do módulo anti-cheat pelos hackers pode aumentar, pois mesmo que o fornecedor responda e conserte a falha, as versões antigas continuarão circulando.
“Ainda é raro encontrar um módulo com assinatura de código como driver de dispositivo que possa ser abusado”, comentam os pesquisadores.
A pesquisa de segurança Kevin Beaumont aconselha que os administradores possam se defender contra essa ameaça bloqueando o hash "0466e90bf0e83b776ca8716e01d35a8a2e5f96d3" em sua solução de segurança, que corresponde ao driver mhypro2.sys vulnerável.
Finalmente, os defensores devem monitorar os logs de eventos para a instalação do serviço específico, chamado "mhyprot2".
Postar um comentário