Hackere udforsker nye måder at introducere og bruge ondsindet software på ofrenes computere og har for nylig lært at bruge videokort til dette formål. På et af hackerforaene, tilsyneladende russisk, blev der solgt en teknologidemonstrator (PoC), som giver dig mulighed for at indsætte ondsindet kode i grafikacceleratorens videohukommelse og derefter køre den derfra. Antivirus vil ikke være i stand til at opdage udnyttelsen, fordi de normalt kun scanner RAM.
Tidligere var videokort beregnet til kun at udføre én opgave - behandling af 3D-grafik. På trods af at deres hovedopgave er forblevet uændret, har videokort selv udviklet sig til en slags lukket computerøkosystem. I dag indeholder de tusindvis af blokke til grafikacceleration, flere hovedkerner, der styrer denne proces, og også deres egen bufferhukommelse (VRAM), hvori grafiske teksturer er gemt.
Som BleepingComputer skriver, har hackere udviklet en metode til at lokalisere og gemme ondsindet kode i videokortets hukommelse, som følge heraf ikke kan opdages af et antivirus. Der vides intet om præcis, hvordan udnyttelsen fungerer. Hackeren, der skrev det, sagde kun, at det tillader et ondsindet program at blive placeret i videohukommelsen og derefter eksekveret direkte derfra. Han tilføjede også, at udnyttelsen kun virker med Windows-operativsystemer, der understøtter OpenCL 2.0-rammeværket og senere. Ifølge ham testede han ydeevnen af malware med integreret grafik Intel UHD 620 og UHD 630, samt diskrete videokort Radeon RX 5700, GeForce GTX 1650 og mobile GeForce GTX 740M. Dette sætter et stort antal systemer under angreb. Vx-underground forskerholdet via deres side Twitter rapporterede, at det i den nærmeste fremtid vil demonstrere driften af den specificerede hacking-teknologi.
For nylig solgte en ukendt person en malware-teknik til en gruppe af trusselsaktører.
Denne fejlkode gjorde det muligt at udføre binære filer af GPU'en og i GPU'ens hukommelsesadresserum, snarere CPU'erne.
Vi vil snart demonstrere denne teknik.
-vx-underground (@vxunderground) August 29, 2021
Det skal bemærkes, at det samme hold offentliggjorde open source Jellyfish-udnyttelser for flere år siden, som også bruger OpenCL til at oprette forbindelse til pc-systemfunktioner og tvinge ondsindet kodekørsel fra GPU'en. Forfatteren til den nye udnyttelse benægtede til gengæld forbindelsen med Jellyfish og udtalte, at hans hackingmetode er anderledes. Hackeren sagde ikke, hvem der købte demonstratoren, samt beløbet for handlen.
Læs også:
- Hackeren hævder at have data fra mere end 100 millioner T-Mobile-kunder
- Entusiastiske hackere installeret Android (MIUI 11) på iPhone