Il popolare gioco free-to-play Genshin Impact è stato sfruttato da un operatore ransomware per arrestare i processi degli antivirus e distribuire indisturbato il proprio malware su un elevato numero di macchine bersaglio.
In sostanza l'exploit scoperto colpisce i driver del kernel-mode anti-cheat del gioco (un sistema pensato per fermare gli utenti disonesti che utilizzano cheat per avvantaggiarsi in game), così come spiegato da Trend Micro all'interno di un recente whitepaper.
Il driver utilizzato è il file mhyprot2.sys e consente di accedere in root al sistema. Un aspetto peculiare, però, è che il gioco non deve essere necessariamente installato sul PC affinché l'exploit sia efficace.
Infatti, secondo i ricercatori, il file in questione è integrabile in qualsiasi malware, dato che il driver è indipendentemente dal gioco.
Ottenere il modulo è abbastanza facile e resta disponibile finché non viene eliminato e, in ogni caso, il sistema anti-cheat di Geshin Impact era già sotto osservazione, poiché continuava a funzionare al livello del kernel anche se il gioco viene arrestato. Tuttavia, lo sviluppatore lo ha modificato successivamente.
Sebbene i sistemi anti-cheat a livello di kernel siano molto efficaci, lasciano aperta la porta a exploit di questo tipo, nel caso in cui vengano trovate delle vulnerabilità, con conseguenze potenzialmente disastrose, considerato il tipo di accesso che i malintenzionati possono ottenere.
In ogni caso, MiHoYo, noto anche come HoYoVerse, lo sviluppatore di Genshin Impact, ha dichiarato di essere al lavoro sul caso e promette di trovare il prima possibile una soluzione in grado di proteggere efficacemente i giocatori, riservandosi di comunicare ulteriori informazioni man mano che farà progressi nell'analisi del problema.
