Gli hacker stanno esplorando nuovi modi per introdurre e utilizzare software dannoso sui computer delle vittime e hanno recentemente imparato a utilizzare le schede video per questo scopo. Su uno dei forum degli hacker, apparentemente russo, è stato venduto un dimostratore tecnologico (PoC), che consente di inserire codice dannoso nella memoria video dell'acceleratore grafico, per poi eseguirlo da lì. Gli antivirus non saranno in grado di rilevare l'exploit perché di solito scansionano solo la RAM.
In precedenza, le schede video erano destinate a svolgere solo un'attività: l'elaborazione della grafica 3D. Nonostante il loro compito principale sia rimasto invariato, le schede video stesse si sono evolute in una sorta di ecosistema informatico chiuso. Oggi contengono migliaia di blocchi per l'accelerazione grafica, diversi core principali che gestiscono questo processo e anche la propria memoria buffer (VRAM), in cui sono archiviate le trame grafiche.
Come scrive BleepingComputer, gli hacker hanno sviluppato un metodo per localizzare e archiviare codice dannoso nella memoria della scheda video, per cui non può essere rilevato da un antivirus. Non si sa esattamente come funziona l'exploit. L'hacker che l'ha scritto ha detto solo che consente a un programma dannoso di essere inserito nella memoria video e quindi eseguito direttamente da lì. Ha anche aggiunto che l'exploit funziona solo con i sistemi operativi Windows che supportano il framework OpenCL 2.0 e versioni successive. Secondo lui, ha testato le prestazioni del malware con grafica integrata Intel UHD 620 e UHD 630, nonché schede video discrete Radeon RX 5700, GeForce GTX 1650 e GeForce GTX 740M mobile. Ciò mette sotto attacco un numero enorme di sistemi. Il team di ricerca Vx-underground tramite la loro pagina Twitter ha riferito che nel prossimo futuro dimostrerà il funzionamento della tecnologia di hacking specificata.
Di recente un individuo sconosciuto ha venduto una tecnica malware a un gruppo di Threat Actors.
Questo codice errato consentiva l'esecuzione di file binari dalla GPU e nello spazio degli indirizzi di memoria della GPU, piuttosto che dalle CPU.
Dimostreremo presto questa tecnica.
-vxunderground (@vxunderground) 29 Agosto 2021
Va notato che lo stesso team ha pubblicato exploit open source Jellyfish diversi anni fa, che utilizza anche OpenCL per connettersi alle funzioni di sistema del PC e forzare l'esecuzione di codice dannoso dalla GPU. L'autore del nuovo exploit, a sua volta, ha smentito la connessione con Jellyfish e ha affermato che il suo metodo di hacking è diverso. L'hacker non ha detto chi ha comprato il dimostratore, così come l'importo dell'affare.
Leggi anche:
- L'hacker afferma di avere i dati di oltre 100 milioni di clienti T-Mobile
- Hacker entusiasti installati Android (MIUI 11) su iPhone