Venden herramientas para ocultar malware en AMD, NVIDIA GPUs

Los cibercriminales están avanzando hacia los ataques con malware que puede ejecutar código desde la unidad de procesamiento de gráficos (GPU) de un sistema comprometido.

Si bien el método no es nuevo y ya se ha publicado antes códigos de demostración , los proyectos hasta ahora provenían del mundo académico o estaban incompletos y sin refinar.

A principios de este mes, una prueba de concepto (PoC) se vendió en un foro de hacking, lo que podría marcar la transición de los ciberdelincuentes a un nuevo nivel de sofisticación para sus ataques.

Código probado en GPU Intel, AMD y Nvidia

En una breve publicación en un foro, alguien ofreció vender la prueba de concepto (PoC) para una técnica que, según ellos, mantiene el código malicioso a salvo de las soluciones de seguridad que escanean la RAM del sistema.

El vendedor proporcionó solo una descripción general de su método, diciendo que usa el búfer de memoria de la GPU para almacenar código malicioso y ejecutarlo desde allí.

Según el anunciante, el proyecto funciona solo en sistemas Windows que admiten las versiones 2.0 y superiores del marco OpenCL para ejecutar código en varios procesadores, incluidas las GPU.

La publicación también mencionó que el autor probó el código en tarjetas gráficas de Intel (UHD 620/630), Radeon (RX 5700) y GeForce (GTX 740M (?), GTX 1650).

>El anuncio apareció el 8 de agosto. Aproximadamente dos semanas después, el 25 de agosto, el vendedor respondió que había vendido el PoC sin revelar los términos del trato. No hay detalles sobre el trato, quién lo compró y cuánto pagaron. Solo la publicación del vendedor de que vendió el software malicioso a un tercero desconocido.

Otro miembro del foro indicó que el malware basado en GPU ya se había hecho antes, apuntando a JellyFish, un PoC de seis años para un rootkit de GPU basado en Linux. El vendedor rechazó la asociación con el malware JellyFish diciendo que su método es diferente y no depende de la asignación de código al espacio de usuario.

En un tweet el domingo, los investigadores del repositorio de amenazas VX-Underground dijeron que el código malicioso permite la ejecución binaria por parte de la GPU en su espacio de memoria. También agregaron que demostrarán la técnica en un futuro próximo.

Los mismos investigadores detrás del rootkit JellyFish también publicaron PoC para un keylogger basado en GPU y un troyano de acceso remoto basado en GPU para Windows. Los tres proyectos se publicaron en mayo de 2015 y están a disposición del público. Si bien la referencia al proyecto JellyFish sugiere que el malware basado en GPU es una idea relativamente nueva, la base para este método de ataque se estableció hace unos ocho años.

En 2013, los investigadores del Institute of Computer Science - Foundation for Research and Technology (FORTH) en Grecia y en la Universidad de Columbia en Nueva York demostraron [PDF] que las GPU pueden albergar el funcionamiento de un keylogger y almacenar las pulsaciones de teclas capturadas en su espacio de memoria.

Anteriormente, los investigadores demostraron que los autores de malware pueden aprovechar la potencia computacional de la GPU para empaquetar el código con esquemas de cifrado muy complejos mucho más rápido que la CPU.

Fuente: BC

Suscríbete a nuestro Boletín