Les pirates explorent de nouvelles façons d'introduire et d'utiliser des logiciels malveillants sur les ordinateurs des victimes et ont récemment appris à utiliser des cartes vidéo à cette fin. Sur l'un des forums de hackers, apparemment russe, un démonstrateur technologique (PoC) a été vendu, qui permet d'insérer du code malveillant dans la mémoire vidéo de l'accélérateur graphique, puis de l'exécuter à partir de là. Les antivirus ne seront pas en mesure de détecter l'exploit car ils n'analysent généralement que la RAM.
Auparavant, les cartes vidéo étaient destinées à effectuer une seule tâche - le traitement des graphiques 3D. Bien que leur tâche principale soit restée inchangée, les cartes vidéo elles-mêmes ont évolué pour devenir une sorte d'écosystème informatique fermé. Aujourd'hui, ils contiennent des milliers de blocs pour l'accélération graphique, plusieurs cœurs principaux qui gèrent ce processus, et aussi, leur propre mémoire tampon (VRAM), dans laquelle sont stockées les textures graphiques.
Comme l'écrit BleepingComputer, les pirates ont développé une méthode de localisation et de stockage du code malveillant dans la mémoire de la carte vidéo, de sorte qu'il ne peut pas être détecté par un antivirus. On ne sait rien sur le fonctionnement exact de l'exploit. Le pirate informatique qui l'a écrit a seulement déclaré qu'il permettait à un programme malveillant d'être placé dans la mémoire vidéo, puis exécuté directement à partir de là. Il a également ajouté que l'exploit ne fonctionne qu'avec les systèmes d'exploitation Windows prenant en charge le framework OpenCL 2.0 et versions ultérieures. Selon lui, il a testé les performances du malware avec des graphiques intégrés Intel UHD 620 et UHD 630, ainsi que des cartes vidéo discrètes Radeon RX 5700, GeForce GTX 1650 et GeForce GTX 740M mobile. Cela met un grand nombre de systèmes sous attaque. L'équipe de recherche Vx-underground via leur page Twitter signalé que dans un avenir proche, il démontrera le fonctionnement de la technologie de piratage spécifiée.
Récemment, un inconnu a vendu une technique malveillante à un groupe d'acteurs de la menace.
Ce code malveillant permettait aux binaires d'être exécutés par le GPU, et dans l'espace d'adressage mémoire du GPU, plutôt que par les processeurs.
Nous vous montrerons cette technique prochainement.
- vx-underground (@vxunderground) 29 août 2021
Il convient de noter que la même équipe a publié il y a plusieurs années des exploits open source Jellyfish, qui utilisent également OpenCL pour se connecter aux fonctions du système PC et forcer l'exécution de code malveillant à partir du GPU. L'auteur du nouvel exploit, à son tour, a nié le lien avec Jellyfish et a déclaré que sa méthode de piratage était différente. Le hacker n'a pas précisé qui a acheté le démonstrateur, ni le montant de la transaction.
Lisez aussi:
- Le pirate prétend avoir les données de plus de 100 millions de clients T-Mobile
- Des hackers enthousiastes installés Android (MIUI 11) sur iPhone