Malware se esconde em GPUs da AMD, Nvidia e Intel e ataca computadores Windows

Uma nova técnica de ciberataque consegue esconder um malware em GPUs da AMD, Nvidia e Intel para atacar computadores com o sistema operacional Windows. técnica de malware que se apresenta como muito nova e que esses ataques são capazes de executar código a partir da unidade de processamento gráfico (GPU) de um sistema que está comprometido.

Alguns dias atrás, um hacker postou uma oferta de malware em um fórum online para outros hackers. Especificamente, anunciou à venda a chamada prova de conceito (PoC por sua sigla em inglês) de uma técnica que é pouco conhecida até agora. Ele promete manter o código malicioso protegido das soluções de segurança existentes que fazem a varredura da RAM do sistema. Esse malware pode já estar em circulação, ou pelo menos sabe-se que alguém o adquiriu.

O malware foi testado em placas gráficas da Intel, Radeo e GeForce

De acordo com a vx-underground, um grupo que coleta uma ampla coleção de códigos-fonte de malware, com exemplos e documentos da internet, o fornecedor apenas forneceu uma visão geral de seu método, dizendo que usa o buffer de memória da GPU para armazenar os arquivos maliciosos código e executá-lo a partir daí. Segundo o anunciante, o projeto só funciona em sistemas Windows compatíveis com as versões 2.0 e superiores do framework OpenCL para rodar código em vários processadores, inclusive GPUs.

O autor desta postagem no fórum de hackers também explicou outros detalhes. Além disso, ele disse que testou o código em placas de vídeo da Intel, AMD e Nvidia. São elas: UHD 620/630, Radeon RX 5700 e GeForce GTX 1650, entre outras. O anúncio apareceu em 8 de agosto. Cerca de duas semanas depois, em 25 de agosto, o fornecedor respondeu que havia vendido o teste. Porém, sem divulgar os termos do acordo ou o destino desse malware.

Malware se esconde em GPUs da AMD, Nvidia e Intel e ataca computadores Windows

Outro membro do fórum de hackers indicou que malware com foco em GPU já existia. Eles apontam para o JellyFish, um rootkit baseado em GPU Linux. De acordo com este usuário, os mesmos pesquisadores por trás do rootkit JellyFish também publicaram PoCs para um keylogger baseado em GPU e um Trojan de acesso remoto baseado em GPU para Windows. Esses projetos existem desde maio de 2015. O fornecedor rejeitou a associação com o malware JellyFish dizendo que seu método é diferente.

Por outro lado, em 2013, pesquisadores do Instituto de Ciência da Computação – Fundação para Pesquisa e Tecnologia (FORTH) na Grécia e da Universidade de Columbia em Nova York demonstraram que as GPUs podem hospedar a operação de um keylogger. Além disso, podem armazenar teclas capturadas em seu espaço de memória. .

Via Biping Computer