Lançado para PC e consoles em setembro de 2020, o videogame de ação e aventura Genshin Impact foi criado pela miHoYo Limited of China. A versão para Windows vem com um módulo de combate aos cheats de jogos, que incorpora um driver chamado mhyprot2.sys. Ele fornece ao mecanismo de defesa do jogo amplos privilégios de sistema e possui uma assinatura digital para provar seus direitos. O jogo precisa disso para detectar e bloquear ferramentas que ajudam a contornar as restrições internas. Inesperadamente, os hackers encontraram outro uso para o driver.
Em agosto de 2022, a Trend Micro divulgou um relatório sobre um ataque incomum à infraestrutura corporativa. O ataque usou esse driver específico mhyprot2.sys. Em poucas palavras, um grupo de hackers descobriu que poderia usar privilégios de sistema praticamente ilimitados concedidos pelo driver e o certificado digital legítimo associado como ferramentas para um ataque direcionado. E você nem precisa instalar o jogo em si para se tornar uma vítima.
Trabalhando em torno da proteção
O relatório detalha um ataque a uma vítima não identificada, omitindo o método inicial que os hackers usaram para penetrar na infraestrutura corporativa. Tudo o que sabemos é que eles usaram uma conta de administrador comprometida para acessar o controlador de domínio via RDP. Além de roubar dados do controlador, camuflaram uma pasta compartilhada com um instalador malicioso disfarçada de antivírus. Os invasores usaram políticas de grupo para instalar o arquivo em uma das estações de trabalho – e isso provavelmente foi um ensaio para uma infecção em massa de computadores na organização.
No entanto, a tentativa de instalar o malware na estação de trabalho falhou: o módulo que deveria criptografar os dados – claramente esperado para ser seguido por um pedido de resgate – não foi executado e os invasores tiveram que iniciá-lo manualmente mais tarde. No entanto, eles conseguiram instalar o driver perfeitamente legal mhyprot2.sys da Genshin Impact. Outro utilitário que eles implantaram no sistema reuniu dados sobre processos que poderiam interferir na instalação do código malicioso.
Todos os processos da lista, incluindo soluções de segurança ativas no computador, foram interrompidos pelo driver mhyprot2.sys, um por um. Uma vez que o sistema foi despojado de suas defesas, a ferramenta de malware real foi iniciada, criptografando arquivos e deixando uma mensagem de resgate.
Não é um ataque normal
O caso é interessante, pois demonstra a exploração do que é essencialmente um software legítimo distribuído como parte de um jogo de computador bastante popular. A Trend Micro descobriu que o driver mhyprot2.sys usado no ataque foi de agosto de 2020 – pouco antes do lançamento inicial do jogo. Os cibercriminosos tendem a usar certificados privados roubados para assinar programas maliciosos ou explorar vulnerabilidades em software legítimo. Nesse caso, no entanto, os hackers utilizaram os recursos regulares do driver, ou seja, acesso total à RAM e a capacidade de interromper qualquer processo no sistema. Esses programas legítimos representam um risco adicional para o administrador de infraestrutura corporativa, pois podem ser facilmente ignorados pelas ferramentas de monitoramento.
Os usuários do Genshin Impact levaram algum tempo para perceber o comportamento um tanto incomum do mhyprot2.sys. Por exemplo, o módulo permaneceu no sistema mesmo após a desinstalação do jogo, o que significa que todos os usuários de PC do jogo, tanto atuais quanto passados, estão um pouco vulneráveis e seus computadores são mais fáceis de atacar. Curiosamente, as discussões nos fóruns de trapaças sobre como o driver poderia ser explorado para combater sistemas antifraude, também aproveitando os amplos recursos do módulo e a assinatura digital, datam de outubro de 2020.
Isso deve servir como um lembrete para que desenvolvedores de software com privilégios elevados usem seus direitos de sistema com cautela; caso contrário, seu código pode ser usado para ciberataques em vez de proteção contra hackers. Os desenvolvedores do Genshin Impact foram informados sobre os possíveis problemas associados ao driver no verão passado, mas não consideraram o comportamento perigoso do módulo um problema. Por um lado, a assinatura digital ainda estava em vigor no final de agosto de 2022.
Recomendações para as empresas
Você pode reduzir o risco de um ataque bem-sucedido descrito no cenário acima, incluindo o driver potencialmente perigoso em sua lista de monitoramento e usando medidas de segurança com amplos recursos de autodefesa. Não se esqueça de que os hackers inicialmente obtiveram acesso ao controlador de domínio. Então essa situação já era perigosa: eles poderiam usar truques menos inovadores para continuar espalhando malware pela rede corporativa.
Normalmente, a detecção de jogos instalados nos computadores dos funcionários só é considerada importante do ponto de vista da produtividade. O incidente antifraude com o Genshin Impact é um lembrete de que programas “desnecessários” podem ser não apenas uma distração, mas também um risco extra de segurança. Eles adicionam software potencialmente vulnerável e, em alguns casos, trazem códigos abertamente perigosos para dentro do perímetro de segurança.