Hackerii explorează noi modalități de a introduce și de a folosi software rău intenționat pe computerele victimelor și au învățat recent să folosească plăcile video în acest scop. Pe unul dintre forumurile de hackeri, aparent rusesc, a fost vândut un demonstrator de tehnologie (PoC), care vă permite să introduceți cod rău intenționat în memoria video a acceleratorului grafic și apoi să îl rulați de acolo. Antivirusurile nu vor putea detecta exploit, deoarece de obicei scanează doar RAM.
Anterior, plăcile video erau destinate să îndeplinească o singură sarcină - procesarea graficelor 3D. În ciuda faptului că sarcina lor principală a rămas neschimbată, plăcile video în sine au evoluat într-un fel de ecosistem de calcul închis. Astăzi, ele conțin mii de blocuri pentru accelerarea grafică, câteva nuclee principale care gestionează acest proces și, de asemenea, propria lor memorie tampon (VRAM), în care sunt stocate texturile grafice.
După cum scrie BleepingComputer, hackerii au dezvoltat o metodă de localizare și stocare a codului rău intenționat în memoria plăcii video, ca urmare a căreia acesta nu poate fi detectat de un antivirus. Nu se știe nimic despre exact cum funcționează exploitul. Hackerul care a scris-o a spus doar că permite plasarea unui program rău intenționat în memoria video și apoi executat direct de acolo. El a adăugat, de asemenea, că exploit-ul funcționează numai cu sistemele de operare Windows care acceptă cadrul OpenCL 2.0 și mai târziu. Potrivit acestuia, a testat performanța malware-ului cu grafică integrată Intel UHD 620 și UHD 630, precum și plăci video discrete Radeon RX 5700, GeForce GTX 1650 și GeForce GTX 740M pentru mobil. Acest lucru pune sub atac un număr mare de sisteme. Echipa de cercetare Vx-underground prin intermediul paginii lor Twitter a raportat că în viitorul apropiat va demonstra funcționarea tehnologiei de hacking specificate.
Recent, o persoană necunoscută a vândut o tehnică malware unui grup de actori ai amenințărilor.
Acest cod necorespunzător a permis executarea binarelor de către GPU și, în spațiul de adresă al memoriei GPU, mai degrabă CPU-urilor.
Vom demonstra această tehnică în curând.
- vx-underground (@vxunderground) August 29, 2021
Trebuie remarcat faptul că aceeași echipă a publicat exploatările open source Jellyfish în urmă cu câțiva ani, care folosește și OpenCL pentru a se conecta la funcțiile sistemului PC și a forța execuția de cod rău intenționat din GPU. Autorul noii exploit, la rândul său, a negat legătura cu Jellyfish și a declarat că metoda lui de hacking este diferită. Hackerul nu a spus cine a cumpărat demonstratorul, precum și valoarea tranzacției.
Citeste si:
- Hackerul susține că deține datele a peste 100 de milioane de clienți T-Mobile
- Instalați hackeri entuziaști Android (MIUI 11) pe iPhone