Um novo malware, desenvolvido como prova de conceito, pode infectar o buffer de memória da placa gráfica sem ser detectado pelo resto do sistema, de acordo com informações de um fórum de hackers citado pelo site BleppingComputer.
O código malicioso foi vendido online no dia 25 de agosto, como um exploit que aloca espaço de endereço no VRAM da GPU, em que executa as suas ações. Como o antivírus não consegue escanear a memória da placa gráfica, o malware funciona de forma imperceptível.
Para que o ataque seja executado, o usuário precisa de um PC com Windows que suporte OpenCL 2.0 ou superior. Ele foi supostamente testado e funciona com as placas gráficas integradas UHD 620/630 da Intel, bem como em modelos AMD e NVIDIA, incluindo Radeon RX 5700, GeForce GTX 740M e GTX 1650.
Os detalhes da execução do ataque ainda não são conhecidos. Entretanto, o grupo VX Underground, especializado em estudar códigos maliciosos e divulgar seus resultados na internet, afirmou no Twitter que pretende demonstrar o funcionamento do novo malware em breve.
Recently an unknown individual sold a malware technique to a group of Threat Actors.
— vx-underground (@vxunderground) August 29, 2021
This malcode allowed binaries to be executed by the GPU, and in GPU memory address space, rather the CPUs.
We will demonstrate this technique soon.
Códigos maliciosos em placas gráficas
Ataques em placas gráficas não são novidades. (Fonte: Unsplash/Christian Wiediger/Reprodução)Fonte: Unsplash/Christian Wiediger/Reprodução
A exploração de vulnerabilidades de placas gráficas para a realização de ataques a computadores não é uma novidade. Em 2015, pesquisadores publicaram um ataque de código aberto de funcionamento similar, conhecido como JellyFish. O exploit explorava a técnica LD_PRELOAD do OpenCL para conectar chamadas de sistema e a GPU, forçando a execução de código malicioso.
O vendedor do novo código malicioso rejeitou a associação com o malware JellyFish, afirmando que seu método é diferente e não depende do mapeamento de código de volta ao espaço do usuário. Não há detalhes sobre o negócio, quem o comprou e o valor da transação.
Com a maior utilização das placas gráficas, dedicadas a fornecer e acelerar cargas de trabalho 3D, inclusive para a mineração de criptomoedas devido a seu alto poder de processamento, os ataques desse tipo podem se tornar cada vez mais comuns.
Fontes
Categorias