Waspada! Hacker Gunakan Genshin Impact Untuk Sebar Ransomware

Genshin Impact

PARBOABOA - Hacker kembali berulah. Kini para penjahat siber itu melancarkan aksinya dengan menyalahgunakan sistem anti-cheat dalam gim Genshin Impact. Bahkan, Anda tidak perlu menginstalnya di komputer untuk terpengaruh.

Menurut laporan dari vendor antivirus, Trend Micro, setidaknya satu peretas menggunakan perangkat lunak anti-cheat untuk membantu mendistribusikan ransomware secara massal.

File bernama 'mhyprot2.sys' dan digambarkan sebagai driver anti-cheat, demikian dikutip dari Tech Spot, Senin (29/8/2022).

Trend Micro menerima laporan pada bulan Juli dari pelanggan yang menjadi korban ransomware meskipun sistemnya telah mengonfigurasi perlindungan titik akhir dengan benar.

Ketika peneliti Trend Micro menyelidiki serangan tersebut, mereka menemukan seorang peretas telah menggunakan driver bertanda kode, mhyprot2.sys, untuk melewati hak istimewa dan mematikan perlindungan virus dengan perintah kernel.

"Ransomware ini hanyalah contoh pertama dari aktivitas jahat yang kami catat. Tujuannya adalah untuk menyebarkan ransomware di dalam perangkat korban dan kemudian menyebarkan infeksi," kata Trend Micro.

"Karena mhyprot2.sys dapat diintegrasikan ke dalam malware apa pun, kami melanjutkan penyelidikan untuk menentukan cakupan driver," tambahnya.

Trend Micro menyiapkan laporan panjang lebar tentang hack baru ini, menjelaskan cara kerjanya dengan sangat rinci.

Serangan dapat dilakukan dengan menggunakan driver Genshin Impact yang disebut mhypro2.sys. Seperti yang disebutkan di atas, game tidak perlu diinstal pada perangkat yang ditargetkan. 

Modul dapat beroperasi secara independen dan tidak memerlukan game untuk dijalankan. Para peneliti menemukan bukti pelaku ancaman yang menggunakan kerentanan ini untuk melakukan serangan ransomware sejak Juli 2022.

Meskipun tidak jelas bagaimana para hacker pada awalnya dapat memperoleh akses ke target mereka, begitu masuk, mereka dapat menggunakan driver Genshin Impact untuk mengakses kernel komputer. 

Kernel umumnya memiliki kontrol penuh atas semua yang terjadi di sistem Anda. Jadi, bagi pelaku ancaman untuk dapat mengaksesnya adala bencana.

Peretas menggunakan "secretsdump," yang membantu mereka merebut kredensial admin, dan "wmiexec," yang mengeksekusi perintah mereka dari jarak jauh melalui alat Instrumentasi Manajemen Windows sendiri.

Ini adalah alat sumber terbuka dan gratis dari Impacket yang dapat diperoleh siapa saja jika mereka mau.

Dengan itu, pelaku ancaman dapat terhubung ke pengontrol domain dan menanamkan file berbahaya ke mesin.

Salah satu file ini adalah executable yang disebut "kill_svc.exe" dan digunakan untuk menginstal driver Genshin Impact.

Trend Micro mencatat, telah membuat perbaikan khusus pada software antivirusnya untuk mengurangi driver.

Namun suite perlindungan virus lainnya mungkin melewatkan driver mhyprot2.sys, kecuali jika dikonfigurasi secara khusus untuk mendeteksinya.

"Tidak semua produk keamanan disebarkan dengan cara yang sama, dan mungkin memiliki pemeriksaan sertifikat di tingkat tumpukan yang berbeda atau mungkin tidak diperiksa sama sekali," kata Trend Micro.

Peneliti keamanan Kevin Beaumont merekomendasikan untuk memblokir hash diver di atas.

Editor: -
TAG :
Baca Juga
LIPUTAN KHUSUS