Tin tặc đang tích cực khai thác lỗ hổng trong trình điều khiển ‘mhyprot2.sys’. Các game thủ Genshin Impact cần phải cẩn thận!
Phần mềm chống gian lận là cực kỳ quan trọng để duy trì sự công bằng của người chơi trong một trò chơi nhiều người chơi. Tuy nhiên, một hacker đang sử dụng phần mềm chống gian lận trên trò chơi hiện có trên thị trường, Tác động Genshin để vô hiệu hóa phần mềm chống vi-rút gây ra cuộc tấn công bằng ransomware. Trình điều khiển / mô-đun được đặt tên ‘mhyprot2.sys’ và được mô tả như một trình điều khiển chống gian lận.
Nhà cung cấp phần mềm chống vi rút Xu hướng micro đã nhận được một báo cáo vào tháng 7 từ một người là nạn nhân của ransomware. Các nhà nghiên cứu của Xu hướng micro nhận thấy một trình điều khiển được ký mã có tên ‘mhyprot2.sys’ có trong phần mềm chống gian lận của chúng tôi Tác động Genshin. Trình điều khiển này cho phép các cuộc tấn công ransomware sử dụng các lệnh Kernel để vô hiệu hóa phần mềm chống vi-rút.
Ngoài ra, hacker có thể thực hiện các lệnh Kernel mà không cần cài đặt Tác động Genshin trên phần cứng. Và sau khi tin tặc có được quyền truy cập từ xa, mô-đun ‘mhyprot2.sys’ sẽ được chuyển ngay đến PC của nạn nhân.
Người lái xe mhyprot2.sys được phát hiện lần đầu tiên vào tháng 8 năm 2020. Vào tháng 10 năm 2020, một người dùng GitHub thậm chí đã phát triển một kỹ thuật để đưa ra bằng chứng và chỉ ra cách trình điều khiển này có thể bị lạm dụng để vô hiệu hóa các quy trình hệ thống, bao gồm cả việc ngừng hoạt động một phần mềm chống vi rút của Trung Quốc.
Nguy hiểm hơn, trình điều khiển mhyprot2.sys còn có chứng chỉ hợp pháp được ký bằng mã, có nghĩa là trình điều khiển này có thể được cài đặt trên các thiết bị Windows và được công nhận là có uy tín. Vì vậy, Xu hướng micro cảnh báo “Mô-đun này rất dễ lấy và bất kỳ ai cũng có thể lấy được cho đến khi bị rút”.
Đáp lại báo cáo của Xu hướng microNhà phát triển miHoYo Genshin Impact đang trong quá trình đưa ra một giải pháp để giảm thiểu rủi ro cho các game thủ của mình.
“Đội ngũ HoYoverse rất coi trọng vấn đề bảo mật thông tin. Chúng tôi hiện đang nghiên cứu trường hợp này và sẽ đưa ra giải pháp sớm nhất có thể để bảo vệ an toàn cho người chơi và ngăn chặn việc lạm dụng chức năng chống gian lận có thể xảy ra. Chúng tôi sẽ cho bạn biết khi có thêm thông tin. “
Nhà nghiên cứu bảo mật Kevin Beaumont khuyến nghị rằng các quản trị viên có thể chống lại mối đe dọa này bằng cách chặn các hàm băm “0466e90bf0e83b776ca8716e01d35a8a2e5f96d3” về giải pháp bảo mật của họ cũng như chặn các trình điều khiển dễ bị tấn công ‘mhyprot2.sys’ .
