Un cybercriminel vend un outil pour masquer les malwares dans les GPU AMD et NVIDIA

0

Les cybercriminels progressent vers les attaques avec des logiciels malveillants capables d’exécuter du code à partir de l’unité de traitement graphique (GPU) d’un système compromis.

Bien que la méthode ne soit pas nouvelle et que le code de démonstration ait déjà été publié, les projets provenaient jusqu’à présent du monde universitaire ou étaient incomplets et non raffinés.

Plus tôt ce mois-ci, la preuve de concept a été vendue sur un forum de hackers, marquant potentiellement la transition des cybercriminels vers un nouveau niveau de sophistication pour leurs attaques.

Code testé sur les GPU Intel, AMD et Nvidia

Dans un court article sur un forum de hackers, quelqu’un a proposé de vendre la preuve de concept d’une technique qui, selon lui, protège le code malveillant des solutions de sécurité analysant la RAM du système.

Le vendeur n’a fourni qu’un aperçu de sa méthode, affirmant qu’il utilise la mémoire tampon du GPU pour stocker le code malveillant et l’exécuter à partir de là.

Selon l’annonceur, le projet ne fonctionne que sur les systèmes Windows prenant en charge les versions 2.0 et supérieures du framework OpenCL pour exécuter du code sur divers processeurs, GPU inclus.

Le message mentionnait également que l’auteur avait testé le code sur des cartes graphiques Intel (UHD 620/630), Radeon (RX 5700) et GeForce (GTX 740M(?), GTX 1650).

L’annonce est parue le 8 août. Environ deux semaines plus tard, le 25 août, le vendeur a répondu qu’il avait vendu la preuve de concept sans divulguer les termes de l’accord.

Un autre membre du forum des hackers a indiqué que des logiciels malveillants de GPU avaient déjà été utilisés, pointant vers JellyFish – une preuve de concept de six ans pour un rootkit de GPU basé sur Linux.

Dans un tweet, des chercheurs de VX-Underground ont déclaré que le code malveillant permet l’exécution binaire par le GPU dans son espace mémoire. Ils ont également ajouté qu’ils démontreront la technique dans un proche avenir.

Recherche académique

Les mêmes chercheurs à l’origine du rootkit JellyFish ont également publié des preuves de concept pour un enregistreur de frappe sur le GPU et un cheval de Troie d’accès à distance sur le GPU pour Windows. Les trois projets ont été publiés en mai 2015 et sont accessibles au public.

Le vendeur a rejeté l’association avec le malware JellyFish en disant que leur méthode est différente et ne repose pas sur le mappage du code vers l’espace utilisateur.

Il n’y a pas de détails sur l’accord, qui l’a acheté et combien ils ont payé. Seul le vendeur signale qu’il a vendu le malware à une partie inconnue.

Alors que la référence au projet JellyFish suggère que les logiciels malveillants basés sur GPU sont une idée relativement nouvelle, les bases de cette méthode d’attaque ont été établies il y a environ huit ans.

En 2013, des chercheurs de l’Institute of Computer Science – Foundation for Research and Technology (FORTH) en Grèce et de l’Université Columbia à New York ont ​​montré que les GPU peuvent héberger le fonctionnement d’un enregistreur de frappe et stocker les frappes capturées dans son espace mémoire [papier PDF ici].

Auparavant, les chercheurs ont démontré que les auteurs de logiciels malveillants peuvent tirer parti de la puissance de calcul du GPU pour emballer le code avec des schémas de cryptage très complexes beaucoup plus rapidement que le CPU.

Laisser un commentaire