Hay una técnica de malware que se presenta como muy novedosa y es que estos ataques son capaces de ejecutar código desde la unidad de procesamiento gráfico (GPU) de un sistema que está comprometido.
Hace unas días un hacker publicó en un foro online para otros hackers una oferta de un malware. Concretamente, anunciaba para su venta la llamada prueba de concepto (proof-of-concept o PoC por sus siglas en inglés) de una técnica que es poco conocida hasta ahora. Promete mantener el código malicioso a salvo de las soluciones de seguridad existentes que escanean la RAM del sistema. Este malware podría estar ya en circulación o, al menos, se sabe que se ha vendido a alguien.
Recently an unknown individual sold a malware technique to a group of Threat Actors.
— vx-underground (@vxunderground) August 29, 2021
This malcode allowed binaries to be executed by the GPU, and in GPU memory address space, rather the CPUs.
We will demonstrate this technique soon.
El malware ha sido probado en tarjetas gráficas de Intel, Radeo y GeForce
De acuerdo con vx-underground, grupo que recoge una amplia colección de código fuente de malware, con ejemplos y documentos de internet, el vendedor solo proporcionó una visión general de su método, diciendo que utiliza el búfer de memoria de la GPU para almacenar el código malicioso y ejecutarlo desde allí. Según el anunciante, el proyecto sólo funciona en sistemas Windows compatibles con las versiones 2.0 y superiores del marco OpenCL para ejecutar código en diversos procesadores, incluidas las GPU.
El autor de esta publicación en el mencionado foro para hackers también explicó que probó el código en tarjetas gráficas de Intel, AMD y Nvidia: UHD 620/630, Radeon RX 5700 y GeForce GTX 1650, entre otros. El anuncio apareció el 8 de agosto. Unas dos semanas después, el 25 de agosto, el vendedor respondió que había vendido la prueba, aunque sin revelar los términos del acuerdo ni el destino de este malware.
Podría ser un malware similar a proyectos anteriores
Otro miembro del foro de hackers indicó que el malware basado en la GPU ya se había hecho antes, señalando a JellyFish para un rootkit basado en la GPU de Linux. Según este usuario, los mismos investigadores detrás del rootkit JellyFish también publicaron PoCs para un keylogger basado en la GPU y un troyano de acceso remoto para Windows basado en la GPU. Estos proyectos se publicaron en mayo de 2015. El vendedor rechazó la asociación con el malware JellyFish diciendo que su método es diferente.
Por otro lado, en 2013, los investigadores del Instituto de Ciencias de la Computación - Fundación para la Investigación y la Tecnología (FORTH) en Grecia y de la Universidad de Columbia en Nueva York demostraron que las GPU pueden albergar el funcionamiento de un keylogger y almacenar las pulsaciones de teclas capturadas en su espacio de memoria.
Vía | Bleeping Computer
Ver 1 comentarios