Nowy exploit ukrywa złośliwy kod w pamięci VRAM kart graficznych NVIDIA GeForce i AMD Radeon

Nowy exploit ukrywa złośliwy kod w pamięci VRAM kart graficznych NVIDIA GeForce i AMD Radeon

Cyberprzestępcy szukają coraz bardziej wyrafinowanych sposobów na infekcję komputerów, a teraz próbują wykorzystać Twoje karty graficzne, ukrywając złośliwy kod w pamięci VRAM. Uniemożliwiłoby to wykrycie kodu przez skanery antywirusowe przeczesujące główną pamięć RAM komputera

W minionym tygodniu w darknecie został sprzedany dowód koncepcji (PoC) narzędzia, które umożliwia ukrywanie złośliwego kodu w pamięci karty graficznej. Układy te są normalnie przeznaczone do generowania grafiki, jednak nowoczesne karty są tak złożone, że można mówić właściwie o odrębnym ekosystemie. Na forum hakerów wystawiono na sprzedaż narzędzie umożliwiające ukrywanie złośliwego kodu w pamięci VRAM - czyniąc go niewykrywalnym dla reszty systemu. Ogłoszenie pojawiło się 8 sierpnia, a 25 sierpnia ktoś dokonał zakupu za nieznaną kwotę.

Nowe narzędzie pozwala ukrywać złośliwy i uruchamiać go z pamięci VRAM GPU, co sprawia, że jest niewykrywalny przez antywirusy. Dowód koncepcji został sprzedany w darknecie. 

Niestety ogłoszenie nie podaje praktycznie żadnych szczegółów, więc nie wiadomo jak to wszystko działa. Haker zaoferował zestaw narzędzi wraz z PoC, opisując go jako exploit, który przydziela przestrzeń adresową w pamięci VRAM GPU i potajemnie wstawia i wykonuje stamtąd kod stamtąd. Antywirusy nie mogą skanować VRAM GPU, więc narzędzie jest nie do wykrycia.

Exploit wymaga komputera działającego pod kontrolą systemu Windows z obsługą minimum OpenCL 2.0. Kod został sprawdzony i wiadomo, że działa ze zintegrowaną grafiką Intel UHD 620/630 oraz kartami graficznymi Radeon RX 5700 i GeForce GTX 740M oraz GTX 1650. Grupy badawcze przyglądają się sprawie i zapowiadają, że wkrótce zaprezentują działanie tej techniki.

Nie jest to pierwszy raz, gdy hakerzy biorą na cel karty graficzne. Atak Jellyfish, który opublikowano kilka lat temu, wykorzystywał technikę LD_PRELOAD z OpenCL do łączenia wywołań systemowych z GPU i wymuszenia wykonania złośliwego kodu z GPU. Udowodniono również, że poprzez GPU można obsługiwać keyloggera, a także uzyskać zdalny dostęp do komputera. Wcześniej  badacze wykazali,  że autorzy złośliwego oprogramowania mogą wykorzystać moc obliczeniową GPU do upakowania kodu w bardzo skomplikowanych schematach szyfrowania znacznie szybciej niż procesor. 

Zobacz także:

Pokaż / Dodaj komentarze do: Nowy exploit ukrywa złośliwy kod w pamięci VRAM kart graficznych NVIDIA GeForce i AMD Radeon

 0