Хакеры пользуются тем, что драйвер античита китайской экшен-RPG обладает цифровым сертификатом от Microsoft, тем самым получая высокий уровень привилегий в Windows. После того, как злоумышленники встраивают драйвер в свои вредоносные программы, они могут в том числе отключать с его помощью антивирус.
В Trend Micro подчеркнули, что для успешной атаки не требуется, чтобы на компьютере жертвы был установлен Genshin Impact. Программы-вымогатели с интегрированным драйвером античита работают самостоятельно, не используя никакие другие файлы игры.
Специалисты по кибербезопасности ещё с 2020 года выражали опасения о том, что античит Genshin Impact обладает слишком большим уровнем привилегий, в том числе на уровне ядра Windows. В компании HoYoverse лишь один раз отреагировали на претензии, и обновили античит, чтобы он отключался, когда игра не запущена.
Эксперты Trend Micro рассказали представителям HoYoverse об обнаруженных программах-вымогателях, но в китайской компании не прокомментировали ситуацию.