{"id":25303,"date":"2022-09-30T00:56:14","date_gmt":"2022-09-30T06:56:14","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25303"},"modified":"2022-09-30T00:56:14","modified_gmt":"2022-09-30T06:56:14","slug":"genshin-driver-attack","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/genshin-driver-attack\/25303\/","title":{"rendered":"Armar el c\u00f3digo del juego para atacar a una empresa"},"content":{"rendered":"

Lanzado para PC y consolas en septiembre de 2020, Genshin Impact<\/em><\/a>, el videojuego de acci\u00f3n y aventuras, fue creado por la empresa china miHoyo Limited. La versi\u00f3n para Windows viene con un m\u00f3dulo aprueba de trampas, que incorpora un controlador llamado mhyprot2.sys<\/em>. Este proporciona al mecanismo de defensa del juego amplios privilegios del sistema y contienen una firma digital para probar sus derechos. El juego necesita de esto para detectar y bloquear herramientas que ayuden a eludir las restricciones integradas. De forma inesperadas, los hackers encontraron otro uso para este controlador.<\/p>\n

En agosto de 2022, Trend Micro public\u00f3 un informe<\/a> sobre un ataque poco usual a la infraestructura de la empresa. Dicho ataque utilizo este particular controlador mhyprot2.sys<\/em>. En pocas palabras, un grupo de hackers descubri\u00f3 que pod\u00eda usar los privilegios del sistema virtualmente ilimitados que el controlador ofrece, as\u00ed como el certificado digital leg\u00edtimo asociado, como herramientas para un ataque dirigido. Y ni siquiera es necesario instalar el juego para ser v\u00edctima.<\/p>\n

El trabajo en torno a la protecci\u00f3n<\/h2>\n

El informe detalla un ataque a una v\u00edctima no identificada, mientras omite el m\u00e9todo inicial que los hackers usaron para penetrar la infraestructura corporativa dada. Todo lo que sabemos es que utilizaron una cuenta de administrado comprometida para acceder al controlador de dominio mediante RDP. Adem\u00e1s de robar los datos del controlador, los hackers colocaron una carpeta compartida con un instalador malicioso disfrazado de antivirus. Los atacantes utilizaron pol\u00edticas de grupo para instalar el archivo en una de las estaciones de trabajo, y es probable que esto fuera un ensayo para una infecci\u00f3n masiva de computadoras en la organizaci\u00f3n.<\/p>\n

Sin embargo, este intento de instalar el malware en la estaci\u00f3n de trabajo fracas\u00f3: el m\u00f3dulo que se supon\u00eda que deb\u00eda cifrar los datos (que claramente se esperaba fuera seguido por una petici\u00f3n de rescate) no se ejecut\u00f3 y los atacantes tuvieron que iniciarlo m\u00e1s tarde de forma manual. No obstante, lograron instalar el controlador mhyprot2.sys de Genshin Impact<\/em> de forma completamente legal. Otro uso que implementaron en el sistema se encarg\u00f3 de recopilar informaci\u00f3n sobre procesos que podr\u00edan interferir con la instalaci\u00f3n del c\u00f3digo malicioso.<\/p>\n

\"\"

Lista de procesos forzados por el controlador del juego\u00a0Fuente<\/a><\/p><\/div>\n

Todos los procesos de la lista, incluyendo las soluciones de seguridad activas en la computadora, fueron detenidos por el controlador mhyprot2.sys uno por uno. Una vez que el sistema fue despojado de sus defensas, la verdadera herramienta de malware se puso en marcha, cifrando archivos y dejando una nota de rescate.<\/p>\n

No es el t\u00edpico hackeo<\/h2>\n

Este caso resulta interesante ya que muestra la explotaci\u00f3n de lo que es un software esencialmente leg\u00edtimo distribuido como parte de un juego de computadora bastante popular. Trend Micro descubri\u00f3 que el controlador mhyprot2.sys usado en el ataque se firm\u00f3 en agosto de 2020, poco antes del lanzamiento inicial del juego. Los ciberdelincuentes suelen usar certificados privados que roban para firmar programas maliciosos o explotar vulnerabilidades en softwares leg\u00edtimos. Sin embargo, en este caso, los hackers utilizaron las funciones habituales del controlador, o sea, el acceso completo a la RAM y la capacidad de detener cualquier proceso en el sistema. Dichos programas leg\u00edtimos representan un riesgo adicional para el administrador de la infraestructura corporativa, ya que las herramientas de monitoreo pueden ignorarlos f\u00e1cilmente.<\/p>\n

Los usuarios de Genshin Impact tardaron un poco en notar el comportamiento poco usual de mhyprot2.sys. Por ejemplo, el m\u00f3dulo permaneci\u00f3 en el sistema incluso despu\u00e9s de que el juego era desinstalado, lo que significa que todos los usuarios de PC del juego, tanto actuales como anteriores, son vulnerables y sus computadoras son m\u00e1s f\u00e1ciles de atacar. Curiosamente, las discusiones<\/a> en los tableros de mensajes sobre enga\u00f1os de c\u00f3mo se podr\u00eda explotar el controlador para combatir los sistemas anti-trampas, tambi\u00e9n aprovechando las amplias capacidades del m\u00f3dulo y la firma digital, provienen desde octubre de 2020.<\/p>\n

Esto deber\u00eda servir como recordatorio para que los desarrolladores de software con privilegios elevados usen sus derechos del sistema con precauci\u00f3n; de lo contrario, su c\u00f3digo podr\u00eda usarse para ataques cibern\u00e9ticos en lugar de protecci\u00f3n anti-hacker. Los desarrolladores de Genshin Impact fueron informados sobre los posibles problemas asociados con el controlador durante el verano pasado, pero no consideraron que el comportamiento peligroso del m\u00f3dulo fuera un problema. Por un lado, la firma digital todav\u00eda estaba vigente a finales de agosto de 2022.<\/p>\n

Recommendaciones para empresas.<\/h2>\n

Puedes reducir el riesgo de un ataque exitoso utilizando el escenario anterior al incluir el controlador potencialmente peligroso en su lista de monitoreo y utilizando medidas de seguridad<\/a> con amplias capacidades de autodefensa. No olvides que los hackers obtuvieron acceso al controlador de dominio inicialmente. As\u00ed que esa situaci\u00f3n ya era peligrosa: pod\u00edan usar trucos menos ingeniosos para seguir propagando malware a trav\u00e9s de la red corporativa.<\/p>\n

Usualmente, la detecci\u00f3n de juegos instalados en las computadoras de los empleados solo se considera importante desde una perspectiva de productividad. El incidente anti-trampas de Genshin Impact<\/em> es un recordatorio de que los programas \u201cinnecesarios\u201d pueden no solo ser una distracci\u00f3n, sino tambi\u00e9n un riesgo adicional a la seguridad. Se suman al software potencialmente vulnerable y, en algunos casos, introducen c\u00f3digo abiertamente peligroso dentro del per\u00edmetro de seguridad.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Un caso poco usual de un ataque ejecutado al armar el c\u00f3digo leg\u00edtimo de un videojuego.<\/p>\n","protected":false},"author":665,"featured_media":25304,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[5821,5820,410],"class_list":{"0":"post-25303","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-antifraude","11":"tag-controlador","12":"tag-vulnerabilidad"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/genshin-driver-attack\/25303\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/genshin-driver-attack\/24581\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/genshin-driver-attack\/20047\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/genshin-driver-attack\/27034\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/genshin-driver-attack\/24938\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/genshin-driver-attack\/27639\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/genshin-driver-attack\/33982\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/genshin-driver-attack\/11023\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/genshin-driver-attack\/45494\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/genshin-driver-attack\/19468\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/genshin-driver-attack\/20052\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/genshin-driver-attack\/29295\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/genshin-driver-attack\/25454\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/genshin-driver-attack\/30988\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/genshin-driver-attack\/30683\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidad\/","name":"vulnerabilidad"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25303","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=25303"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25303\/revisions"}],"predecessor-version":[{"id":25307,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25303\/revisions\/25307"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/25304"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=25303"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=25303"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=25303"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}