Lo + Nuevo
ciberseguridad

Hackers Consiguen Ocultar Malware en la VRAM de tarjetas de video (GPUs)

Pinterest LinkedIn Tumblr

Escucha la noticia dando click en el audio 馃檪

Un grupo de cibercriminales est谩n vendiendo informaci贸n muy valiosa referente a instalar malware en los sistemas, y es que este nuevo m茅todo esconde el malware en la memoria VRAM de las GPUs, siendo el mayor de los problemas que es imposible de detectar por los antivirus actuales, por lo que es imposible intentar averiguar si un sistema est谩 infectado o no. Concretamente, el malware se oculta el buffer de la GPU para evitar la inspecci贸n de los antivirus, requiriendo para su funcionamiento “estaciones de trabajo Windows que soporten OpenCL 2.0 y superior”.


Venden herramienta para ocultar malware en GPU de AMD y NVIDIA

El malware utiliza el espacio de asignaci贸n de memoria gr谩fica para ejecutar el c贸digo malicioso. La tecnolog铆a utiliza la API OpenCL 2.0 en el sistema operativo Windows, ning煤n otro sistema es compatible con el c贸digo malicioso.

Eso s铆, el mayor de los problemas es que todas las gr谩ficas que puedan hacer uso de dicha API son vulnerables, ya que el hacker en cuesti贸n que est谩 vendiendo los conocimientos confirm贸 que es posible a帽adir el malware en la memoria de GPUs modernas como la AMD Radeon RX 5700 o la Nvidia GeForce GTX 1650, o modelos antiguos como la GeForce GTX 740M o las iGPUs Intel UHD 620/630.

Este m茅todo de ocultaci贸n habr铆a sido probado exitosamente con tarjetas Intel UHD 620 y 630, Radeon RX 5700 y GeForce GTX 740M y 1650.

Encuentran la forma de a帽adir c贸digo malicioso empleando la VRAM de la GPU

El uso de la memoria gr谩fica para ejecutar c贸digo malicioso no es un tema totalmente nuevo. Ya en 2015 los investigadores demostraron una prueba de concepto de un keylogger basado en la GPU y troyanos de acceso remoto para Windows. El autor del nuevo malware afirma que su m茅todo es nuevo y no est谩 asociado a esos m茅todos.

Se espera que en breve se revele m谩s informaci贸n, ya que los responsables de vx-underground, la mayor colecci贸n de c贸digo fuente de malware, muestras y documentos en Internet, ya ha asegurado que la GPU est谩 ejecutando los binarios del malware desde el espacio de memoria VRAM de la GPU.

Si bien el m茅todo no es nuevo y el c贸digo de demostraci贸n se ha publicado antes, los proyectos hasta ahora proven铆an del mundo acad茅mico o estaban incompletos y sin refinar.

A principios de este mes, una prueba de concepto (PoC) se vendi贸 en un for, lo que podr铆a marcar la transici贸n de los ciberdelincuentes a un nuevo nivel de sofisticaci贸n para sus ataques.

C贸digo probado en GPU Intel, AMD y Nvidia

En una breve publicaci贸n, alguien ofreci贸 vender la prueba de concepto (PoC) para una t茅cnica que, seg煤n ellos, mantiene el c贸digo malicioso a salvo de las soluciones de seguridad que escanean la RAM del sistema.

El vendedor proporcion贸 solo una descripci贸n general de su m茅todo, diciendo que usa el b煤fer de memoria de la GPU para almacenar c贸digo malicioso y ejecutarlo desde all铆.

Seg煤n el anunciante, el proyecto funciona solo en sistemas Windows que admiten las versiones 2.0 y superiores del marco OpenCL para ejecutar c贸digo en varios procesadores, incluidas las GPU.

La publicaci贸n tambi茅n mencion贸 que el autor prob贸 el c贸digo en tarjetas gr谩ficas de Intel (UHD 620/630), Radeon (RX 5700) y GeForce (GTX 740M (?), GTX 1650).

VX-Underground dijo que el c贸digo malicioso permite la ejecuci贸n binaria por parte de la GPU en su espacio de memoria. Tambi茅n agregaron que demostrar谩n la t茅cnica en un futuro pr贸ximo.

Los mismos investigadores detr谩s del rootkit JellyFish tambi茅n publicaron PoC para un keylogger basado en GPU y un troyano de acceso remoto basado en GPU para Windows. Los tres proyectos se publicaron en mayo de 2015 y han estado a disposici贸n del p煤blico.

El vendedor rechaz贸 la asociaci贸n con el malware JellyFish diciendo que su m茅todo es diferente y no depende de la asignaci贸n de c贸digo al espacio de usuario.

No hay detalles sobre el trato, qui茅n lo compr贸 y cu谩nto pagaron. Solo la publicaci贸n del vendedor de que vendi贸 el software malicioso a un tercero desconocido.

Si bien la referencia al proyecto JellyFish sugiere que el malware basado en GPU es una idea relativamente nueva, la base para este m茅todo de ataque se estableci贸 hace unos ocho a帽os.

En 2013, investigadores del Institute of Computer Science – Foundation for Research and Technology (FORTH) en Grecia y de la Universidad de Columbia en Nueva York demostraron que las GPU pueden albergar el funcionamiento de un registrador de pulsaciones de teclas y almacenar las pulsaciones de teclas capturadas en su espacio de memoria [documento PDF aqu铆].

Anteriormente, los investigadores demostraron que los autores de malware pueden aprovechar la potencia computacional de la GPU para empaquetar el c贸digo con esquemas de cifrado muy complejos mucho m谩s r谩pido que la CPU. 

Fuente (s) :

Cr茅ditos M煤sica :

Endless Summer by Loxbeats | https://soundcloud.com/loxbeats
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License
https://creativecommons.org/licenses/by/3.0/deed.en_US

0 0 votos
Califica mi Post
Notificarme
guest
0 Comentarios
Inline Feedbacks
Ver todos los comentarios
0
Que opinas de esta noticia ? D茅janos tu comentario. :)x