Sukses

Hacker Manfaatkan Genshin Impact untuk Sebar Ransomware

Hacker memanfaatkan driver software anti-cheat di Genshin Impact untuk menyebar ransomware dan menonaktifkan antivirus.

Liputan6.com, Jakarta - Hacker memanfaatkan software anti-cheat Genshin Impact untuk menyebar ransomware dan mematikan antivirus.

Setidaknya satu peretas menggunakan software anti-cheat bernama 'mhyprot2.sys' di dalam game MMOPRG Genshin Impact untuk mendistribusikan ransomware secara massal.

Vendor antivirus Trend Micro mendapati hal ini pada Juli 2022, dari pelanggan yang menjadi korban ransomware meski sistemnya telah diproteksi dengan perlindungan endpoint.

Ketika peneliti Trend Micro menyelidiki serangan tersebut, mereka menemukan seorang peretas menggunakan driver bertanda kode 'mhyprot2.sys', untuk melewati dan mematikan perlindungan virus dengan perintah kernel.

Windows mengenali sistem 'mhyprot2.sys' sebagai sistem yang dapat dipercaya, sehingga Genshin Impact pun tak perlu diinstal agar driver eksploit bisa berfungsi. Pasalnya, pelaku jahat bisa memakainya secara mandiri dan menambahkan 'mhyprot2.sys' ke malware apa pun.

Mengutip Techspot, Senin (29/8/2022), driver ini sebenarnya sudah ada sejak 2020. Pengembang GitHub bahkan membuat bukti konsep yang menunjukkan bagaimana seseorang bisa menyalahgunakan driver tersebut untuk mematikan proses sistem, termasuk antivirus.

2 dari 3 halaman

Dipakai untuk Hal Jahat

Trend Micro mengatakan, ini adalah pertama kalinya mereka melihat seseorang menggunakan driver secara jahat.

"Ransomware ini hanyalah contoh pertama dari aktivitas jahat yang kami catat. Aktor jahat bertujuan menyebarkan ransomware di dalam perangkat korban dan menyebarkan infeksi," kata Trend Micro.

Trend Micro pun telah memberi tahu studio Genshin Impact, MiHoYo, tentang kerentanan tersebut. Pengembang pun tengah memperbaikinya.

Masalahnya, karena peretas bisa memakai driver secara mandiri, patch apa pun hanya akan mempengaruhi patch yang menginstal game. Peretas mungkin akan menyebarkan versi diver lama di sekitar komunitas mereka.

3 dari 3 halaman

Telah Membuat Perbaikan

Trend Micro mencatat, telah membuat perbaikan khusus pada software antivirusnya untuk mengurangi driver. Namun suite perlindungan virus lainnya mungkin melewatkan driver mhyprot2.sys, kecuali jika dikonfigurasi secara khusus untuk mendeteksinya.

"Tidak semua produk keamanan disebarkan dengan cara yang sama, dan mungkin memiliki pemeriksaan sertifikat di tingkat tumpukan yang berbeda atau mungkin tidak diperiksa sama sekali," kata Trend Micro.

Peneliti keamanan Kevin Beaumont merekomendasikan untuk memblokir hash diver di atas.

(Tin/Ysl)