I ricercatori di Trend Micro hanno scoperto un modo inusuale per distribuire ransomware. La software house ha rilevato sul computer di un utente una versione vulnerabile del driver usato dal gioco Genshin Impact come sistema anti-cheat. Il malware è in grado di disattivare le soluzioni di sicurezza, in quanto viene seguito con privilegi elevati.
Driver anti-cheat usato per distribuire ransomware
Analizzando il computer della vittima, gli esperti di Trend Micro hanno scoperto il file mhyprot2.sys
, firmato con un certificato digitale ancora valido. Si tratta del driver usato dal gioco Genshin Impact come sistema anti-cheat, ma in questo caso il driver vulnerabile è stato sfruttato anche se il gioco non è presente sul PC. Nonostante la vulnerabilità sia nota dal 2020 e ci siano exploit PoC disponibili, il certificato non è stato ancora revocato.
I cybercriminali accedono al controller di dominio tramite RDP (Remote Desktop Protocol), usando le credenziali rubate dell’account amministratore. Successivamente trasferiscono i file mhyprot2.sys
e kill_svc.exe
. L’eseguibile installa quindi il servizio mhyprot2
e termina i servizi degli antivirus. A questo punto viene copiato il file avg.msi
che installa altri quattro file, tra cui il driver vulnerabile di Genshin Impact e il ransomware.
I ricercatori di Trend Micro hanno però scoperto che i file non vengono cifrati, ma gli antivirus sono disattivati. In alternativa, i cybercriminali copiano ed eseguono il file logon.bat
che diffonde il ransomware tra tutti i computer collegati alla rete interna. Non è noto quale ransomware viene distribuito.