Hackers onderzoeken nieuwe manieren om schadelijke software op de computers van slachtoffers te introduceren en te gebruiken en hebben onlangs geleerd om voor dit doel videokaarten te gebruiken. Op een van de hackerforums, blijkbaar Russisch, werd een technologiedemonstrator (PoC) verkocht, waarmee je kwaadaardige code in het videogeheugen van de grafische versneller kunt invoegen en het vanaf daar kunt uitvoeren. Antivirussen kunnen de exploit niet detecteren omdat ze meestal alleen RAM scannen.
Voorheen waren videokaarten bedoeld om slechts één taak uit te voeren: het verwerken van 3D-graphics. Ondanks dat hun hoofdtaak ongewijzigd is gebleven, zijn videokaarten zelf geëvolueerd tot een soort gesloten computerecosysteem. Tegenwoordig bevatten ze duizenden blokken voor grafische versnelling, verschillende hoofdkernen die dit proces beheren, en ook hun eigen buffergeheugen (VRAM), waarin grafische texturen worden opgeslagen.
Zoals BleepingComputer schrijft, hebben hackers een methode ontwikkeld om kwaadaardige code op te sporen en op te slaan in het geheugen van de videokaart, waardoor deze niet kan worden gedetecteerd door een antivirusprogramma. Er is niets bekend over hoe de exploit precies werkt. De hacker die het schreef, zei alleen dat het toestaat dat een kwaadaardig programma in het videogeheugen wordt geplaatst en vervolgens rechtstreeks van daaruit wordt uitgevoerd. Hij voegde er ook aan toe dat de exploit alleen werkt met Windows-besturingssystemen die het OpenCL 2.0-framework en hoger ondersteunen. Volgens hem testte hij de prestaties van de malware met geïntegreerde grafische Intel UHD 620 en UHD 630, evenals discrete videokaarten Radeon RX 5700, GeForce GTX 1650 en mobiele GeForce GTX 740M. Hierdoor worden een groot aantal systemen aangevallen. Het Vx-underground onderzoeksteam via hun pagina Twitter meldde dat het in de nabije toekomst de werking van de gespecificeerde hacktechnologie zal demonstreren.
Onlangs heeft een onbekende persoon een malwaretechniek verkocht aan een groep Threat Actors.
Door deze malcode konden binaire bestanden worden uitgevoerd door de GPU en in de adresruimte van het GPU-geheugen, in plaats van door de CPU's.
We zullen deze techniek binnenkort demonstreren.
- vx-underground (@vxunderground) 29 Augustus 2021
Opgemerkt moet worden dat hetzelfde team enkele jaren geleden open source Jellyfish-exploits publiceerde, dat ook OpenCL gebruikt om verbinding te maken met pc-systeemfuncties en het uitvoeren van kwaadaardige code door de GPU te forceren. De auteur van de nieuwe exploit ontkende op zijn beurt de connectie met Jellyfish en verklaarde dat zijn hackmethode anders is. De hacker heeft niet gezegd wie de demonstrator heeft gekocht en ook niet over het bedrag van de deal.
Lees ook:
- De hacker beweert de gegevens te hebben van meer dan 100 miljoen T-Mobile-klanten
- Enthousiaste hackers geïnstalleerd Android (MIUI 11) op iPhone