Aanvallers maken gebruik van een anti-cheatdriver van de videogame Genshin Impact om zo antivirussoftware bij organisaties uit te schakelen en daarna ransomware uit te rollen. De driver in kwestie is eenvoudig verkrijgbaar en onafhankelijk van de videogame te gebruiken. Daarnaast is het code signing certificaat van de driver nog altijd geldig, zo waarschuwt antivirusbedrijf Trend Micro. Genshin Impact is een action role-playing game voor verschillende platforms met meer dan 60 miljoen actieve spelers.

Om valsspelen tegen te gaan maakt het spel gebruik van een speciale anti-cheatdriver genaamd "mhyprot2.sys". Via deze driver blijkt het mogelijk om vanuit user-mode naar kernel-mode te gaan en vervolgens commando's uit te voeren. Bij de aanval die Trend Micro onderzocht wist een aanvaller op deze manier de antivirussoftware uit te schakelen, waarna ransomware binnen de organisatie werd uitgerold. De betreffende driver kan echter voor allerlei malware worden gebruikt.

Dat het mogelijk is om via de anti-cheatdriver rechten te verhogen is al twee jaar bekend en ook gemeld bij de gameontwikkelaar als kwetsbaarheid. Het probleem is echter nooit opgelost. Het certificaat gebruikt voor het signeren van de driver is ook nog altijd geldig en het is de vraag of het zal worden ingetrokken, zo stellen de onderzoekers.

"Zoals eerder opgemerkt is deze driver zeer eenvoudig te verkrijgen en zal totdat die verdwijnt voor iedereen beschikbaar zijn", zegt onderzoeker Ryan Soliven. Hij stelt dat de driver nog lange tijd bij aanvallen kan worden gebruikt voor het verhogen van rechten. "Het intrekken van het certificaat en antivirusdetectie zouden mogelijk het misbruik kunnen tegengaan, maar er zijn op dit moment geen oplossingen aangezien het om een legitieme driver gaat." Het onderzoek naar het gebruik van de driver bij aanvallen is nog gaande.