Os hackers estão explorando novas maneiras de introduzir e usar software malicioso nos computadores das vítimas e aprenderam recentemente a usar placas de vídeo para esse fim. Em um dos fóruns de hackers, aparentemente russo, foi vendido um demonstrador de tecnologia (PoC), que permite inserir código malicioso na memória de vídeo do acelerador gráfico e executá-lo a partir daí. Os antivírus não serão capazes de detectar a exploração porque geralmente verificam apenas a RAM.
Anteriormente, as placas de vídeo destinavam-se a executar apenas uma tarefa - processar gráficos 3D. Apesar do fato de que sua principal tarefa permaneceu inalterada, as próprias placas de vídeo evoluíram para uma espécie de ecossistema de computação fechado. Hoje, eles contêm milhares de blocos para aceleração gráfica, vários núcleos principais que gerenciam esse processo e, ainda, sua própria memória buffer (VRAM), na qual são armazenadas as texturas gráficas.
Como escreve o BleepingComputer, os hackers desenvolveram um método para localizar e armazenar códigos maliciosos na memória da placa de vídeo, pelo que não podem ser detectados por um antivírus. Nada se sabe exatamente sobre como o exploit funciona. O hacker que o escreveu disse apenas que permite que um programa malicioso seja colocado na memória de vídeo e executado diretamente de lá. Ele também acrescentou que a exploração funciona apenas com sistemas operacionais Windows que suportam a estrutura OpenCL 2.0 e posterior. Segundo ele, ele testou o desempenho do malware com gráficos integrados Intel UHD 620 e UHD 630, além de placas de vídeo discretas Radeon RX 5700, GeForce GTX 1650 e móvel GeForce GTX 740M. Isso coloca um grande número de sistemas sob ataque. A equipe de pesquisa Vx-underground através de sua página Twitter relatou que em um futuro próximo demonstrará a operação da tecnologia de hacking especificada.
Recentemente, um indivíduo desconhecido vendeu uma técnica de malware para um grupo de Threat Actors.
Esse código malicioso permitia que binários fossem executados pela GPU e no espaço de endereço da memória da GPU, em vez das CPUs.
Vamos demonstrar esta técnica em breve.
- vx-underground (@vxunderground) 29 de agosto de 2021
Deve-se notar que a mesma equipe publicou explorações Jellyfish de código aberto há vários anos, que também usa OpenCL para se conectar às funções do sistema do PC e forçar a execução de código malicioso da GPU. O autor do novo exploit, por sua vez, negou a conexão com a Jellyfish e afirmou que seu método de hacking é diferente. O hacker não disse quem comprou o manifestante, bem como o valor do negócio.
Leia também:
- O hacker afirma ter os dados de mais de 100 milhões de clientes da T-Mobile
- Hackers entusiasmados instalados Android (MIUI 11) no iPhone