El código de un juego como un arma para atacar a una empresa

El extraño caso de un ataque ejecutado al utilizar como arma el código legítimo de un videojuego.

Genshin Impact, el videojuego de acción y aventuras que se lanzó en septiembre de 2020 para PC y consolas, fue creado por la empresa china miHoyo Limited. La versión para Windows viene con un módulo a prueba de trampas que incorpora un controlador llamado mhyprot2.sys. Este proporciona al mecanismo de defensa del juego amplios privilegios del sistema y contiene una firma digital para probar sus derechos. Esto es necesario para que el juego pueda detectar y bloquear herramientas que contribuyan a eludir las restricciones integradas. Sin embargo, inesperadamente, los cibercriminales han encontrado otro uso para este controlador.

En agosto de 2022, Trend Micro publicó un informe sobre un extraño ataque a la infraestructura de la empresa. Este ataque se realizó utilizando el controlador mhyprot2.sys concretamente. En resumidas cuentas, un grupo de cibercriminales descubrió que se podían usar como herramientas para un ataque dirigido los privilegios del sistema virtualmente ilimitados que ofrece el controlador, además del certificado digital legítimo asociado. Además, ni siquiera es necesario instalar el juego para ser víctima de este ataque.

Trabajando en torno a la protección

El informe detalla un ataque a una víctima no identificada omitiendo el método inicial utilizado por los cibercriminales para penetrar la infraestructura corporativa dada. Todo lo que sabemos es que utilizaron una cuenta de administrador comprometida para acceder al controlador de dominio mediante RDP. Además de robar los datos del controlador, los cibercriminales colocaron una carpeta compartida con un instalador malicioso enmascarado como un antivirus. Los atacantes utilizaron políticas de grupo para instalar el archivo en uno de los equipos de trabajo, y es probable que esto fuera un ensayo para llevar a cabo una infección masiva de ordenadores en la organización.

Sin embargo, este intento de instalar el malware en los equipos de trabajo fracasó: el módulo que se suponía que debía cifrar los datos (al que claramente le iba a seguir una petición de rescate) no se ejecutó y los atacantes tuvieron que iniciarlo más tarde manualmente. Sin embargo, sí lograron instalar el controlador mhyprot2.sys de Genshin Impact de forma completamente legal y, otra herramienta que implementaron en el sistema se encargó de recopilar información sobre los procesos que podrían interferir con la instalación del código malicioso.

Lista de procesos forzados por el controlador del juego

Lista de procesos forzados por el controlador del juego. Fuente.

Todos los procesos de la lista, incluyendo las soluciones de seguridad activas en el ordenador, fueron detenidos uno a uno por el controlador mhyprot2.sys. Una vez que el sistema fue despojado de sus defensas, la verdadera herramienta de malware se puso en marcha, cifrando archivos y dejando una nota de rescate.

No se trata del típico hackeo

Este caso resulta interesante ya que muestra la explotación de lo que es un software esencialmente legítimo distribuido como parte de un juego de ordenador bastante popular. Trend Micro descubrió que el controlador mhyprot2.sys usado en el ataque se firmó en agosto de 2020, poco antes del lanzamiento inicial del juego. Los ciberdelincuentes suelen usar certificados privados que roban para firmar programas maliciosos o explotar vulnerabilidades en softwares legítimos. Sin embargo, en este caso, los cibercriminales utilizaron las funciones habituales del controlador, es decir, el acceso completo a la RAM y la capacidad de detener cualquier proceso en el sistema. Dichos programas legítimos representan un riesgo adicional para el administrador de la infraestructura corporativa, ya que las herramientas de monitorización pueden pasarlos por alto fácilmente.

Los usuarios de Genshin Impact tardaron un poco en notar el comportamiento inusual de mhyprot2.sys. Por ejemplo, el módulo permanecía en el sistema incluso después de haber desinstalado el juego, lo que significa que todos los usuarios de PC del juego, tanto los actuales como los que lo eran anteriormente, son vulnerables y sus ordenadores son más fáciles de atacar. Curiosamente, las discusiones en los foros sobre cómo poder explotar el controlador para combatir los sistemas antitrampas, aprovechando también las amplias capacidades del módulo y la firma digital, se inician en octubre de 2020.

Esto debería servir de recordatorio para que los desarrolladores de software con privilegios elevados usen sus derechos del sistema con precaución; de lo contrario, su código podría usarse para ataques cibernéticos en lugar de como protección anticibercriminales. Los desarrolladores de Genshin Impact fueron informados sobre los posibles problemas asociados con el controlador durante el verano pasado, pero no consideraron que el comportamiento peligroso del módulo fuera un problema. Por un lado, la firma digital todavía estaba vigente a finales de agosto de 2022.

Recomendaciones para las empresas

Se puede reducir el riesgo de un ataque exitoso utilizando la situación anterior incluyendo en tu lista de monitorización el controlador potencialmente peligroso y utilizando medidas de seguridad con amplias capacidades de autodefensa. No olvides que los cibercriminales inicialmente obtuvieron acceso al controlador de dominio, por lo que esta situación ya era peligrosa: podían usar trucos menos ingeniosos para seguir propagando malware a través de la red corporativa.

Normalmente, la detección de juegos instalados en los ordenadores de los empleados solo se considera importante desde el ámbito de la productividad. El incidente antitrampas de Genshin Impact es un recordatorio de que los programas “innecesarios” pueden ser no solo una distracción, sino también un riesgo adicional a la seguridad. Se suman al software potencialmente vulnerable y, en algunos casos, introducen código abiertamente peligroso dentro del perímetro de seguridad.

Consejos