Los ciberdelincuentes venden herramientas para ocultar malware en GPUs de AMD y NVIDIA

La técnica de ocultar malware en GPUs ya era conocida, pero los proyectos vistos hasta ahora provenían del mundo académico o estaban incompletos y sin refinar. Hace poco, una prueba de concepto (PoC) se vendió en un foro de piratas informáticos, lo que podría marcar la transición de los ciberdelincuentes a un nuevo nivel de sofisticación para este tipo de ataques, más peligrosos que los típicos desde CPUs.

Y es que los ciberdelincuentes no cesan en las maneras de ampliar la distribución del malware y monetizarlo en un juego de ‘gato y ratón’ en el que nos tememos siempre parece que van los primeros.

La prueba de concepto que nos ocupa describe una técnica que, según ellos, mantiene el código malicioso a salvo de las soluciones de seguridad que escanean la memoria. El vendedor, obviamente, no proporcionó detalles específicos, pero sí que usa el búfer de memoria de la GPU para almacenar código malicioso y ejecutarlo desde allí.

Según el anunciante, el proyecto funciona solo en sistemas Windows que admiten las versiones 2.0 y superiores del marco OpenCL para ejecutar código en varios procesadores, incluidas las GPU. El autor dice que probó el código con éxito en tarjetas gráficas de Intel (UHD 620/630), Radeon (RX 5700) y GeForce (GTX 740M y GTX 1650).

Otro miembro del foro de hackers indicó que el malware en GPUs ya se había demostrado anteriormente, apuntando a JellyFish, un PoC que describía un rootkit de GPU basado en Linux. En un tweet reciente, los investigadores del repositorio de amenazas VX-Underground dijeron que el código malicioso permite la ejecución binaria por parte de la GPU en su espacio de memoria. También agregaron que demostrarán la técnica en un futuro próximo.

Malware en GPUs

Los mismos investigadores detrás del rootkit JellyFish también publicaron PoC para un keylogger basado en GPU y un troyano de acceso remoto basado en GPU para Windows. Los tres proyectos se publicaron en mayo de 2015 y están a disposición del público.

En 2013, investigadores académicos demostraron que las GPU pueden albergar el funcionamiento de un registrador de pulsaciones de teclas y almacenar las pulsaciones capturadas en su espacio de memoria. Anteriormente, los investigadores demostraron que los ciberdelincuentes pueden aprovechar la potencia computacional de la GPU para empaquetar el código con esquemas de cifrado muy complejos y mucho más rápidos que las CPU.

Además, investigadores de seguridad de la Universidad de California en Riverside, descubrieron que los ataques de canal lateral no se limitaban a los procesadores y las mismas técnicas usadas aprovechando las vulnerabilidades de CPU Mettdown y Spectre también se podían aplicar a las GPUs de NVIDIA.

Sin embargo, el autor de la técnica de ocultar malware en GPU que ha salido a la luz, aseguró que su método es diferente al conocido rootkit JellyFishy y no depende de la asignación de código al espacio de memoria de usuario. Si ello es así, puede ser un gran problema y la industria tendrá que estar alerta. No todas las soluciones de seguridad están diseñadas para detectar código malicioso almacenado en la memoria de un hardware que no está ejecutado por la CPU.

La entrada Los ciberdelincuentes venden herramientas para ocultar malware en GPUs de AMD y NVIDIA es original de MuySeguridad. Seguridad informática.