Программное обеспечение для защиты от читов важно для многопользовательских игр. При этом системы с доступом к рут-правам на уровне ядра опасны. Специалисты по информационной безопасности говорили об этом прежде, а теперь этот тип защиты от мошенничества стал использоваться с вредоносными целями на практике.
По меньшей мере один хакер использует античитерское программное обеспечение в составе популярной бесплатной игры жанра MMOPRG Genshin Impact для распространения приложений-вымогателей. Файл mhyprot2.sys описывается как античит-драйвер.
Производящая антивирусы компания Trend Micro в июле получила отчёт от клиента, ставшего жертвой приложения-вымогателя, хотя у него была правильно настроена антивирусная защита. Исследователи из Trend Micro обнаружили, что хакер использовал подписанный драйвер mhyprot2.sys для обхода привилегий и отключения защиты от вирусов с помощью команд ядра.
26 августа сертификат подписи кода для mhyprot2.sys оставался действительным и Windows распознаёт его как заслуживающий доверия. Для работы эксплоита драйвера не нужно устанавливать игру Genshin Impact. Злоумышленники могут прикрепить mhyprot2.sys к любому вредоносному приложению.
Драйвер существует с 2020 года и разработчик на GitHub показал доказательство концепции того, как можно применять mhyprot2.sys для отключения системных процессов, в том числе антивирусов. Trend Micro говорит, что впервые обнаружила злонамеренное использование драйвера.
Компания уведомила студию Genshin Impact miHoYo о существовании уязвимости и ведётся работа над патчем. Однако, патч будут относиться только к тем, у кого установлена игра, а хакеры могут распространять драйвер отдельно.
Trend Micro внесла изменения в свой антивирус, чтобы противостоять опасному драйверу, но другие антивирусы могут не обратить внимания на mhyprot2.sys, если не настроить их на его обнаружение. Специалист по безопасности Кевин Бомонт рекомендует блокировать хэш драйвера (509628b6d16d2428031311d7bd2add8d5f5160e9ecc0cd909f1e82bbbb3234d6), если в вашем антивирусе есть блокировка по хэшу, пишет Techspot.
