Hackare undersöker nya sätt att introducera och använda skadlig programvara på offrens datorer och har nyligen lärt sig att använda grafikkort för detta ändamål. På ett av hackerforumen, uppenbarligen ryska, såldes en teknologidemonstrator (PoC) som låter dig infoga skadlig kod i grafikacceleratorns videominne och sedan köra den därifrån. Antivirus kommer inte att kunna upptäcka utnyttjandet eftersom de vanligtvis bara skannar RAM.
Tidigare var grafikkort avsedda att utföra endast en uppgift - bearbetning av 3D-grafik. Trots att deras huvuduppgift har förblivit oförändrad, har själva grafikkorten utvecklats till ett slags slutet datorekosystem. Idag innehåller de tusentals block för grafikacceleration, flera huvudkärnor som hanterar denna process, och även deras eget buffertminne (VRAM), i vilket grafiska texturer lagras.
Som BleepingComputer skriver har hackare utvecklat en metod för att lokalisera och lagra skadlig kod i grafikkortets minne, vilket gör att den inte kan upptäckas av ett antivirusprogram. Ingenting är känt om exakt hur exploateringen fungerar. Hackaren som skrev den sa bara att den tillåter att ett skadligt program placeras i videominnet och sedan exekveras direkt därifrån. Han tillade också att exploateringen endast fungerar med Windows-operativsystem som stöder OpenCL 2.0-ramverket och senare. Enligt honom testade han prestandan hos skadlig programvara med integrerad grafik Intel UHD 620 och UHD 630, samt diskreta grafikkort Radeon RX 5700, GeForce GTX 1650 och mobila GeForce GTX 740M. Detta sätter ett stort antal system under attack. Vx-underground-forskarteamet via deras sida Twitter rapporterade att den inom en snar framtid kommer att demonstrera driften av den angivna hackningstekniken.
Nyligen sålde en okänd person en skadlig programvara till en grupp hotaktörer.
Denna felkod gjorde det möjligt för binärfiler att exekveras av GPU:n och i GPU-minnets adressutrymme, snarare processorerna.
Vi kommer snart att demonstrera denna teknik.
-vx-underground (@vxunderground) Augusti 29, 2021
Det bör noteras att samma team publicerade Jellyfish-exploater med öppen källkod för flera år sedan, som också använder OpenCL för att ansluta till PC-systemfunktioner och tvinga skadlig kodexekvering från GPU:n. Författaren till den nya exploiten förnekade i sin tur kopplingen till Jellyfish och uppgav att hans hackningsmetod är annorlunda. Hackaren sa inte vem som köpte demonstratorn, liksom summan av affären.
Läs också:
- Hackaren säger sig ha data från mer än 100 miljoner T-Mobile-kunder
- Entusiastiska hackare installerade Android (MIUI 11) på iPhone