PC & Périphériques News

Un pirate vend un outil pour cacher les logiciels malveillants dans la VRAM de la carte graphique


En un mot: Vous voulez garder le code malveillant caché du logiciel antivirus d’un PC pendant qu’il vérifie la RAM du système ? Cachez-le simplement dans la VRAM de la carte graphique. Un outil de preuve de concept qui permet une telle chose a récemment été vendu en ligne, ce qui pourrait être une mauvaise nouvelle pour les utilisateurs de Windows.

Ordinateur qui bipe écrit que quelqu’un proposait de vendre le PoC sur un forum de hackers récemment. Ils n’ont pas révélé trop de détails sur l’outil, bien qu’ils aient noté qu’il fonctionnait en allouant un espace d’adressage dans la mémoire tampon du GPU pour stocker le code malveillant et l’exécuter à partir de là.

Le vendeur a ajouté que le code ne fonctionne que sur les PC Windows prenant en charge OpenCL 2.0 ou supérieur. Ils ont confirmé que cela fonctionnait sur les cartes graphiques Radeon RX 5700 d’AMD et GeForce GTX 740M et GTX 1650 de Nvidia. Il fonctionne également avec la carte graphique intégrée UHD 620/630 d’Intel.

Le message annonçant l’outil a été publié sur le forum le 8 août. Environ deux semaines plus tard (25 août), le vendeur a révélé qu’il avait vendu le PoC à quelqu’un.

Le 29 août, le groupe de recherche Vx-underground a tweeté que le code malveillant permet l’exécution binaire par le GPU dans son espace mémoire. Il démontrera la technique « bientôt ».

Nous avons déjà vu des malwares basés sur GPU. L’attaque open source Jellyfish, que vous pouvez retrouver sur GitHub, est un PoC de rootkit GPU basé sur Linux qui utilise la technique LD_PRELOAD d’OpenCL. Les mêmes chercheurs derrière JellyFish ont également publié des PoC pour un Enregistreur de frappe basé sur GPU et un cheval de Troie d’accès à distance basé sur GPU pour Windows.

« L’idée clé derrière notre approche est de surveiller la mémoire tampon du clavier du système directement depuis le GPU via DMA [direct memory access], sans aucun crochet ni modification dans le code du noyau et les structures de données en dehors de la table des pages », ont écrit les chercheurs du keylogger de 2013. « L’évaluation de notre implémentation de prototype montre qu’un keylogger basé sur GPU peut enregistrer efficacement toutes les frappes de l’utilisateur, les stocker dans l’espace mémoire du GPU, et même analyser les données enregistrées sur place, avec un temps d’exécution négligeable. »

En 2011, une nouvelle menace de malware a été découvert qui utilisait des GPU pour extraire Bitcoin.

Le vendeur du récent PoC a déclaré que sa méthode diffère de JellyFish car elle ne repose pas sur le mappage du code vers l’espace utilisateur.





Source link

Quelle est votre réaction ?

Excité
0
Heureux
0
J'adore
0
Pas certain
0
ridicule
0

Vous aimerez aussi

Laisser une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *