Σύμφωνα με την ιστοσελίδα Bleeping Computer, οι κυβερνοεγκληματίες βρήκαν έναν νέο τρόπο για να κρύβουν κακόβουλο λογισμικό (malware) στους υπολογιστές ανυποψίαστων χρηστών: στη μνήμη της κάρτας γραφικών.

Η συγκεκριμένη μέθοδος μάλιστα, που χρησιμοποιεί τη μνήμη της κάρτας γραφικών αντί τη μνήμη του συστήματος είναι μη ανιχνεύσιμη από το σημερινό λογισμικό antivirus (το οποίο σαρώνει τη μνήμη του συστήματος). Το κακόβουλο λογισμικό δεσμεύει χώρο στη μνήμη της κάρτας γραφικών, από όπου και εκτελείται ο κακόβουλος κώδικας. Η τεχνολογία χρησιμοποιεί το γνωστό API με την ονομασία OpenCL 2.0 σε λειτουργικό σύστημα Windows, και σύμφωνα με πληροφορίες δεν επηρεάζει άλλα συστήματα. 

GPU_rootkit-Ad.jpg

Ο hacker που έκανε γνωστή τη τεχνολογία, επιβεβαίωσε ότι ο κωδικός έχει δοκιμαστεί σε υποσυστήματα γραφικών Intel UHD 620 και 630 καθώς και σε ανεξάρτητες κάρτες γραφικών τύπου Radeon RX 5700, GeForce GTX 740M και GTX 1650. Αν και δεν είναι ακόμη σαφές αν επηρεάζονται και άλλοι τύποι καρτών γραφικών, λαμβάνοντας υπόψη ότι η τεχνολογία χρησιμοποιεί το API OpenCL 2.0 το πιθανότερο είναι να επηρεάζονται όλες οι σύγχρονες κάρτες γραφικών.

GPUMal_VX.jpg

Ο hacker πάντως, μετά την αγγελία για την πώληση του PoC (Proof-of-Concept) που είχε βάλει στις 8 Αυγούστου σε ένα φόρουμ για hacker, επανήλθε στις 25 Αυγούστου λέγοντας πως η πώληση ολοκληρώθηκε χωρίς να αναφέρει άλλες λεπτομέρειες. Ένα άλλο μέλος του φόρουμ δήλωσε ότι η εκτέλεση κακόβουλου κώδικα από τη μνήμη της κάρτας γραφικών δεν αποτελεί νέα ιδέα παραπέμποντας στο Jellyfish, ένα PoC που είχε γίνει γνωστό πριν από έξι χρόνια και αποτελούσε ένα Linux-based GPU rootkit. Ερευνητές επίσης το 2015, είχαν πραγματοποιήσει επίδειξη ενός GPU-based keylogger καθώς και ορισμένων trojans απομακρυσμένης πρόσβασης για Windows. Παρόλα αυτά, ο χάκερ που αποκάλυψε τη νέα μέθοδο έκανε γνωστό ότι η μέθοδος του είναι νέα και δεν σχετίζεται με τις παραπάνω μεθόδους. Σύντομα, ερευνητές από το φόρουμ vx-underground θα πραγματοποιήσουν επίδειξη της τεχνικής πίσω από το νέο malware σύντομα και επιβεβαίωσαν ότι η GPU εκτελεί κώδικα malware εντός του χώρου μνήμης της.