Tin tặc đang khám phá những cách mới để giới thiệu và sử dụng phần mềm độc hại trên máy tính của nạn nhân và gần đây đã học cách sử dụng thẻ video cho mục đích này. Trên một trong những diễn đàn tin tặc, có vẻ như ở Nga, một trình diễn công nghệ (PoC) đã được bán, cho phép bạn chèn mã độc vào bộ nhớ video của trình tăng tốc đồ họa, rồi chạy nó từ đó. Antivirus sẽ không thể phát hiện ra việc khai thác vì chúng thường chỉ quét RAM.
Trước đây, các card màn hình chỉ được dùng để thực hiện một nhiệm vụ - xử lý đồ họa 3D. Mặc dù thực tế là nhiệm vụ chính của chúng vẫn không thay đổi, nhưng bản thân các card màn hình đã phát triển thành một loại hệ sinh thái máy tính khép kín. Ngày nay, chúng chứa hàng nghìn khối để tăng tốc đồ họa, một số lõi chính quản lý quá trình này và cả bộ nhớ đệm (VRAM) của riêng chúng, trong đó các kết cấu đồ họa được lưu trữ.
Như BleepingComputer viết, tin tặc đã phát triển một phương pháp định vị và lưu trữ mã độc trong bộ nhớ của thẻ video, do đó phần mềm chống vi-rút không thể phát hiện ra nó. Không có gì được biết chính xác về cách khai thác hoạt động. Tin tặc đã viết nó chỉ nói rằng nó cho phép một chương trình độc hại được đặt trong bộ nhớ video và sau đó được thực thi trực tiếp từ đó. Ông cũng nói thêm rằng việc khai thác chỉ hoạt động với các hệ điều hành Windows hỗ trợ khung OpenCL 2.0 trở lên. Theo ông, ông đã thử nghiệm hiệu suất của phần mềm độc hại với đồ họa tích hợp Intel UHD 620 và UHD 630, cũng như card màn hình rời Radeon RX 5700, GeForce GTX 1650 và GeForce GTX 740M di động. Điều này đặt một số lượng lớn các hệ thống bị tấn công. Nhóm nghiên cứu Vx-underground qua trang của họ Twitter báo cáo rằng trong tương lai gần nó sẽ chứng minh hoạt động của công nghệ hack được chỉ định.
Gần đây, một cá nhân không rõ danh tính đã bán kỹ thuật phần mềm độc hại cho một nhóm Tác nhân đe dọa.
Mã độc này cho phép các tệp nhị phân được GPU thực thi và trong không gian địa chỉ bộ nhớ GPU, thay vì CPU.
Chúng tôi sẽ sớm chứng minh kỹ thuật này.
- vx-underground (@vxunderground) Tháng Tám 29, 2021
Cần lưu ý rằng cùng một nhóm đã xuất bản các khai thác mã nguồn mở Jellyfish vài năm trước, cũng sử dụng OpenCL để kết nối với các chức năng của hệ thống PC và buộc thực thi mã độc hại từ GPU. Tác giả của khai thác mới, đến lượt mình, phủ nhận mối liên hệ với Jellyfish và tuyên bố rằng phương pháp hack của anh ta là khác nhau. Tin tặc không cho biết ai đã mua người biểu tình, cũng như số lượng giao dịch.
Đọc thêm:
- Tin tặc tuyên bố có dữ liệu của hơn 100 triệu khách hàng T-Mobile
- Hacker nhiệt tình cài đặt Android (MIUI 11) trên iPhone