02/09/2021
Cyberhack oculta código malicioso en la VRAM de su tarjeta gráfica
Por Aleksandar Kostovic
Los ciberdelincuentes buscan explotar sus tarjetas gráficas ocultando código malicioso dentro de su VRAM. Esto evitaría que los escáneres antivirus detecten el código que barren la RAM principal de la PC. Hace solo unos días, se vendió en línea una prueba de concepto (PoC) para una herramienta que hace esto posible, informó Bleeping Computer hoy.
Las tarjetas gráficas están dedicadas a una tarea: proporcionar y acelerar cargas de trabajo 3D. Sin embargo, las mejores y modernas tarjetas gráficas representan sus propios ecosistemas completos que solo se centran en acelerar los gráficos. Contienen miles de núcleos para la aceleración de video, pocos núcleos de control para administrarlo todo y, por supuesto, su propio búfer de memoria (VRAM) para cargar todas esas texturas del juego.
Según la reciente lista de foros de hackers citada por BleepingComputer, es posible ocultar el código malicioso en el búfer de memoria de la tarjeta gráfica sin que el resto del sistema lo detecte. Los detalles eran limitados, pero la publicación llegó a la web el 8 de agosto y, según los informes, se vendió el 25 de agosto por una cantidad no revelada.
Si bien no sabemos exactamente cómo funciona el exploit, el hacker ofreció el kit de herramientas con el PoC y lo describió como un exploit que asigna espacio de direcciones en la VRAM de la GPU e inserta y ejecuta sigilosamente el código desde allí, ya que el antivirus no puede escanear la VRAM de una GPU. .
Para que se ejecute el exploit, el usuario necesita una PC con Windows que admita OpenCL 2.0 o superior. Supuestamente ha sido probado y funciona con los gráficos integrados UHD 620/630 de Intel y las tarjetas gráficas Radeon RX 5700 y GeForce GTX 740M y GTX 1650.
El grupo de investigación Vx-underground tuiteó esta semana que pronto demostrará esta técnica.
Es importante tener en cuenta que esta no es la primera vez que vemos un exploit similar. Hace unos años, los investigadores publicaron el ataque Jellyfish de código abierto que explotaba la técnica LD_PRELOAD de OpenCL para conectar las llamadas al sistema y la GPU y forzar la ejecución de código malicioso desde la GPU. Puedes ver el ataque de medusas en GitHub aquí . Este código muestra que puede usar OpenCL para ocultar el código en GPU sin detección de PC.
Será interesante ver qué nuevas formas encuentran los investigadores de incrustar código malicioso. Es posible que hayamos abierto la caja de Pandora con estos exploits.
(Crédito de la imagen: Syafiq Adnan / Shutterstock)
