Manfaatkan Anti-cheat Game Genshin Impact, Hacker Bisa Serang PC Pengguna dengan Ransomware
JAKARTA, arenagadget.id - Hacker telah menyalahgunakan sistem anti-cheat dalam game populer. Bahkan, Anda tidak perlu menginstalnya di komputer untuk terpengaruh.
Game yang dimaksud disebut Genshin Impact. Menurut laporan baru, hacker dapat memanfaatkan tindakan ant-cheat game untuk menonaktifkan program antivirus di mesin target. Dari sana, mereka bebas melakukan serangan ransomware dan mengendalikan perangkat.
Trend Micro menyiapkan laporan panjang lebar tentang hack baru ini, menjelaskan cara kerjanya dengan sangat rinci. Serangan dapat dilakukan dengan menggunakan driver Genshin Impact yang disebut mhypro2.sys. Seperti yang disebutkan di atas, game tidak perlu diinstal pada perangkat yang ditargetkan.
Modul dapat beroperasi secara independen dan tidak memerlukan game untuk dijalankan. Para peneliti menemukan bukti pelaku ancaman yang menggunakan kerentanan ini untuk melakukan serangan ransomware sejak Juli 2022.
Meskipun tidak jelas bagaimana para hacker pada awalnya dapat memperoleh akses ke target mereka, begitu masuk, mereka dapat menggunakan driver Genshin Impact untuk mengakses kernel komputer.
Kernel umumnya memiliki kontrol penuh atas semua yang terjadi di sistem Anda. Jadi, bagi pelaku ancaman untuk dapat mengaksesnya adala bencana.
Peretas menggunakan "secretsdump," yang membantu mereka merebut kredensial admin, dan "wmiexec," yang mengeksekusi perintah mereka dari jarak jauh melalui alat Instrumentasi Manajemen Windows sendiri. Ini adalah alat sumber terbuka dan gratis dari Impacket yang dapat diperoleh siapa saja jika mereka mau.
Dengan itu, pelaku ancaman dapat terhubung ke pengontrol domain dan menanamkan file berbahaya ke mesin. Salah satu file ini adalah executable yang disebut "kill_svc.exe" dan digunakan untuk menginstal driver Genshin Impact.
Setelah menjatuhkan "avg.msi" ke desktop komputer yang terpengaruh, empat file ditransfer dan dieksekusi. Pada akhirnya, penyerang dapat sepenuhnya membunuh perangkat lunak antivirus komputer dan mentransfer muatan ransomware.
Setelah beberapa gangguan, musuh dapat sepenuhnya memuat driver dan ransomware ke jaringan berbagi dengan tujuan penyebaran massal, yang berarti mereka dapat mempengaruhi lebih banyak workstation yang terhubung ke jaringan yang sama.
Menurut Trend Micro, pengembang Genshin Impact telah diberitahu tentang kerentanan dalam modul game pada awal 2020. Meskipun demikian, sertifikat penandatanganan kode masih ada, yang berarti Windows terus mengenali program tersebut sebagai aman, sebagaimana dikutip dari Digital Trends.
Bahkan jika vendor menanggapi ini dan memperbaiki kelemahan utama ini, versi lamanya akan tetap ada di internet, dan dengan demikian, akan tetap menjadi ancaman. Peneliti keamanan Kevin Beaumont menyarankan pengguna untuk memblokir hash berikut untuk melindungi diri dari pengemudi: 0466e90bf0e83b776ca8716e01d35a8a2e5f96d3.
