{"id":27639,"date":"2022-09-22T10:21:06","date_gmt":"2022-09-22T08:21:06","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27639"},"modified":"2022-09-22T10:26:54","modified_gmt":"2022-09-22T08:26:54","slug":"genshin-driver-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/genshin-driver-attack\/27639\/","title":{"rendered":"El c\u00f3digo de un juego como un arma para atacar a una empresa"},"content":{"rendered":"<p><a href=\"https:\/\/es.wikipedia.org\/wiki\/Genshin_Impact\" target=\"_blank\" rel=\"noopener nofollow\"><em>Genshin Impact<\/em><\/a>, el videojuego de acci\u00f3n y aventuras que se lanz\u00f3 en septiembre de 2020 para PC y consolas, fue creado por la empresa china miHoyo Limited. <strong>La versi\u00f3n para Windows viene con un m\u00f3dulo a prueba de trampas que incorpora un controlador<\/strong> llamado <em>mhyprot2.sys<\/em>. Este proporciona al mecanismo de defensa del juego <strong>amplios privilegios del sistema<\/strong> y contiene una firma digital para probar sus derechos. Esto es necesario para que el juego pueda detectar y bloquear herramientas que contribuyan a eludir las restricciones integradas. Sin embargo, inesperadamente, los <em>cibercriminales<\/em> han encontrado otro uso para este controlador.<\/p>\n<p>En agosto de 2022, Trend Micro public\u00f3 un <a href=\"https:\/\/www.trendmicro.com\/es_es\/research\/22\/h\/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html\" target=\"_blank\" rel=\"noopener nofollow\">informe<\/a> sobre un extra\u00f1o ataque a la infraestructura de la empresa. Este ataque se realiz\u00f3 utilizando el controlador <em>mhyprot2.sys <\/em>concretamente. En resumidas cuentas, un grupo de <em>cibercriminales<\/em> descubri\u00f3 que se pod\u00edan usar como herramientas para un ataque dirigido los privilegios del sistema virtualmente ilimitados que ofrece el controlador, adem\u00e1s del certificado digital leg\u00edtimo asociado. Adem\u00e1s, ni siquiera es necesario instalar el juego para ser v\u00edctima de este ataque.<\/p>\n<h2>Trabajando en torno a la protecci\u00f3n<\/h2>\n<p>El informe detalla un ataque a una v\u00edctima no identificada omitiendo el m\u00e9todo inicial utilizado por los <em>cibercriminales<\/em> para penetrar la infraestructura corporativa dada. Todo lo que sabemos es que utilizaron una cuenta de administrador comprometida para acceder al controlador de dominio mediante RDP. Adem\u00e1s de robar los datos del controlador, los <em>cibercriminales<\/em>\u00a0colocaron una carpeta compartida con un instalador malicioso enmascarado como un antivirus. Los atacantes utilizaron pol\u00edticas de grupo para instalar el archivo en uno de los equipos de trabajo, y es probable que esto fuera un ensayo para llevar a cabo una infecci\u00f3n masiva de ordenadores en la organizaci\u00f3n.<\/p>\n<p>Sin embargo, este intento de instalar el<em> malware<\/em> en los equipos de trabajo fracas\u00f3: el m\u00f3dulo que se supon\u00eda que deb\u00eda cifrar los datos (al que claramente le iba a seguir una petici\u00f3n de rescate) no se ejecut\u00f3 y los atacantes tuvieron que iniciarlo m\u00e1s tarde manualmente. Sin embargo, s\u00ed lograron instalar el controlador mhyprot2.sys de <em>Genshin Impact<\/em> de forma completamente legal y, otra herramienta que implementaron en el sistema se encarg\u00f3 de recopilar informaci\u00f3n sobre los procesos que podr\u00edan interferir con la instalaci\u00f3n del c\u00f3digo malicioso.<\/p>\n<div id=\"attachment_27640\" style=\"width: 174px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-27640\" class=\"wp-image-27640 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2022\/09\/22101359\/genshin-driver-attack-processes.jpg\" alt=\"Lista de procesos forzados por el controlador del juego\" width=\"164\" height=\"480\"><p id=\"caption-attachment-27640\" class=\"wp-caption-text\">Lista de procesos forzados por el controlador del juego. <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/h\/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html\" target=\"_blank\" rel=\"noopener nofollow\">Fuente.<\/a><\/p><\/div>\n<p>Todos los procesos de la lista, incluyendo las soluciones de seguridad activas en el ordenador, fueron detenidos uno a uno por el controlador mhyprot2.sys. Una vez que el sistema fue despojado de sus defensas, la verdadera herramienta de <em>malware<\/em> se puso en marcha, cifrando archivos y dejando una nota de rescate.<\/p>\n<h2>No se trata del t\u00edpico hackeo<\/h2>\n<p>Este caso resulta interesante ya que muestra la explotaci\u00f3n de lo que es un <em>software <\/em>esencialmente leg\u00edtimo distribuido como parte de un juego de ordenador bastante popular. Trend Micro descubri\u00f3 que el controlador mhyprot2.sys usado en el ataque se firm\u00f3 en agosto de 2020, poco antes del lanzamiento inicial del juego. Los ciberdelincuentes suelen usar certificados privados que roban para firmar programas maliciosos o explotar vulnerabilidades en <em>softwares<\/em> leg\u00edtimos. Sin embargo, en este caso, los <strong>cibercriminales utilizaron las funciones habituales del controlador, es decir, el acceso completo a la RAM y la capacidad de detener cualquier proceso en el sistema.<\/strong> Dichos programas leg\u00edtimos representan un riesgo adicional para el administrador de la infraestructura corporativa, ya que las herramientas de monitorizaci\u00f3n pueden pasarlos por alto f\u00e1cilmente.<\/p>\n<p>Los usuarios de <em>Genshin Impact<\/em> tardaron un poco en notar el comportamiento inusual de mhyprot2.sys. Por ejemplo, el m\u00f3dulo permanec\u00eda en el sistema incluso despu\u00e9s de haber desinstalado el juego, lo que significa que todos los usuarios de PC del juego, tanto los actuales como los que lo eran anteriormente, son vulnerables y sus ordenadores son m\u00e1s f\u00e1ciles de atacar. Curiosamente, las <a href=\"https:\/\/www.unknowncheats.me\/forum\/anti-cheat-bypass\/419457-mhyprot2-read-process-kernel-memory-valid-signature-driver-2.html\" target=\"_blank\" rel=\"noopener nofollow\">discusiones<\/a> en los foros sobre c\u00f3mo poder explotar el controlador para combatir los sistemas antitrampas, aprovechando tambi\u00e9n las amplias capacidades del m\u00f3dulo y la firma digital, se inician en octubre de 2020.<\/p>\n<p>Esto deber\u00eda servir de recordatorio para que los desarrolladores de <em>software <\/em>con privilegios elevados usen sus derechos del sistema con precauci\u00f3n; de lo contrario, su c\u00f3digo podr\u00eda usarse para ataques cibern\u00e9ticos en lugar de como protecci\u00f3n anticibercriminales. Los desarrolladores de <em>Genshin Impact<\/em> fueron informados sobre los posibles problemas asociados con el controlador durante el verano pasado, pero no consideraron que el comportamiento peligroso del m\u00f3dulo fuera un problema. Por un lado, la firma digital todav\u00eda estaba vigente a finales de agosto de 2022.<\/p>\n<h2>Recomendaciones para las empresas<\/h2>\n<p>Se puede reducir el riesgo de un ataque exitoso utilizando la situaci\u00f3n anterior incluyendo en tu lista de monitorizaci\u00f3n el controlador potencialmente peligroso y utilizando <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">medidas de seguridad<\/a> con amplias capacidades de autodefensa. No olvides que los cibercriminales inicialmente obtuvieron acceso al controlador de dominio, por lo que esta situaci\u00f3n ya era peligrosa: pod\u00edan usar trucos menos ingeniosos para seguir propagando <em>malware<\/em> a trav\u00e9s de la red corporativa.<\/p>\n<p>Normalmente, la <strong>detecci\u00f3n de juegos instalados <\/strong>en los<strong> ordenadores <\/strong>de los<strong> empleados <\/strong>solo se considera<strong> importante <\/strong>desde el \u00e1mbito de la<strong> productividad.<\/strong> El incidente antitrampas de <em>Genshin Impact<\/em> es un recordatorio de que <strong>los programas \u201cinnecesarios\u201d pueden ser no solo una distracci\u00f3n, sino tambi\u00e9n un riesgo adicional a la seguridad.<\/strong> Se suman al <em>software <\/em>potencialmente vulnerable y, en algunos casos, introducen c\u00f3digo abiertamente peligroso dentro del per\u00edmetro de seguridad.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>El extra\u00f1o caso de un ataque ejecutado al utilizar como arma el c\u00f3digo leg\u00edtimo de un videojuego.<\/p>\n","protected":false},"author":665,"featured_media":27641,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[3488,3487,338],"class_list":{"0":"post-27639","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-antitrampas","10":"tag-controlador","11":"tag-vulnerabilidad"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/genshin-driver-attack\/27639\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/genshin-driver-attack\/24581\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/genshin-driver-attack\/20047\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/genshin-driver-attack\/27034\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/genshin-driver-attack\/24938\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/genshin-driver-attack\/25303\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/genshin-driver-attack\/33982\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/genshin-driver-attack\/11023\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/genshin-driver-attack\/45494\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/genshin-driver-attack\/19468\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/genshin-driver-attack\/20052\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/genshin-driver-attack\/29295\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/genshin-driver-attack\/25454\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/genshin-driver-attack\/30988\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/genshin-driver-attack\/30683\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidad\/","name":"vulnerabilidad"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27639","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27639"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27639\/revisions"}],"predecessor-version":[{"id":27646,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27639\/revisions\/27646"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27641"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27639"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27639"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27639"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}