Сообщается, что хакер продал метод сокрытия вредоносного кода и его выполнения на графическом процессоре.
Хакеры, возможно, нашли способ хранить и выполнять вредоносный код на видеокарте, что потенциально позволяет избежать обнаружения антивирусным программным обеспечением. Сообщается, что код также был продан через хакерский форум, и до сих пор у нас нет дальнейших указаний на то, насколько опасным может быть этот метод.
Код, который остается незамеченным в памяти графического процессора, вероятно, очень опасен из-за потенциальных трудностей, связанных с его удалением, которое может зависеть от полной перепрограммирования графического процессора — и без того рискованное дело. Однако общая угроза указанного метода будет зависеть от того, что нужно для имплантации кода в память графического процессора с самого начала.
Однако все, что мы знаем об этой технике, — это то, что хакер, который, как сообщается, позже продал ее, сказал о ней на форуме. Позже об этом сообщил Bleeping Computer.
Исходное сообщение на форуме гласит:
«Продайте PoC [доказательство концепции] метода, который позволяет избежать обнаружения AV при сканировании RAM. Он выделяет адресное пространство в буфере памяти GPU, вставляет и выполняет код оттуда».
Затем в сообщении объясняется, что этот метод работает только на компьютерах с Windows, которые поддерживают OpenCL 2.0 или выше — открытый стандарт, используемый для ускорения приложений на графических процессорах. Также этот метод был протестирован на видеокартах Intel UHD 620, UHD 630, Radeon RX 5700, GeForce GTX 740M и GeForce GTX 1650.
Возможность того, что этот метод работает как на дискретных графических процессорах AMD, так и на Nvidia, сама по себе вызывает беспокойство. Однако возможность того, что он также будет работать с iGPU Intel, потенциально откроет для эксплойта гораздо больший процент ПК.
Как отмечает Bleeping Computer, VX-Underground, которая называет себя «самой большой коллекцией исходного кода, образцов и статей вредоносных программ в Интернете», знает о такой технике и вскоре продемонстрирует ее.
Это не первый раз, когда графический процессор и, возможно, OpenCL используются для выполнения вредоносного кода. Различные пользователи указывают на похожий PoC под названием Jellyfish, который представляет собой руткит для графических процессоров на базе Linux, который работает как на графических процессорах Nvidia, так и на AMD и требует для работы драйверов OpenCL. Этот код не менялся шесть лет, хотя его создатели отмечают, что такие вредоносные программы на базе графического процессора выигрывают от отсутствия инструментов и программного обеспечения, способных их обнаруживать.