I criminali informatici stanno cercando di sfruttare le schede grafiche nascondendo codice dannoso all’interno della VRAM, impendendone in questo modo il rilevamento da parte degli scanner antivirus che analizzano la RAM principale del PC. Stando ai colleghi di Bleeping Computer, sembra che solo pochi giorni fa sia stato venduto online il proof-of-concept (PoC) di uno strumento che rende possibile questo tipo di attacco.

Le moderne schede grafiche rappresentano dei veri e propri ecosistemi completi che si concentrano solo sull’accelerazione della grafica. Contengono migliaia di core per l’accelerazione video, pochi core di controllo per la gestione di tutto e, naturalmente, il proprio buffer di memoria (VRAM) per caricare tutte le texture. Secondo il forum di hacker citato da BleepingComputer, è possibile nascondere codice malevolo nel buffer di memoria della scheda grafica senza che il resto del sistema riesca a rilevarlo. I dettagli erano limitati, ma il post è apparso sul web l’8 agosto e, secondo quanto riferito, lo strumento è stato venduto il 25 agosto per un importo non precisato.

Anche se non conosciamo esattamente il funzionamento dell’exploit, l’hacker ha offerto il toolkit con il PoC descrivendolo come un exploit che alloca lo spazio degli indirizzi nella VRAM della GPU e inserisce ed esegue furtivamente il codice da lì, poiché l’antivirus non può scansionare la VRAM. Per l’esecuzione dell’exploit, un utente ha bisogno di un PC Windows che supporti OpenCL 2.0 o versioni successive. Inoltre, è stato presumibilmente testato e funziona con le GPU integrate Intel UHD 620/630 e le schede Radeon RX 5700, GeForce GTX 740M e GTX 1650. Il gruppo Vx-underground ha affermato su Twitter che presto dimostrerà la validità di questa tecnica.

Recently an unknown individual sold a malware technique to a group of Threat Actors.

This malcode allowed binaries to be executed by the GPU, and in GPU memory address space, rather the CPUs.

We will demonstrate this technique soon.

— vx-underground (@vxunderground) August 29, 2021

È importante far notare che questa non è la prima volta che viene scoperto un simile exploit. Alcuni anni fa, alcuni ricercatori avevano pubblicato l’attacco open source Jellyfish che sfruttava la tecnica LD_PRELOAD di OpenCL per connettere le chiamate di sistema e la GPU e forzare l’esecuzione di codice dannoso dalla GPU. Nel caso foste interessati, potete accedere alla pagina ufficiale su GitHub direttamente da qui.