Ingin menyembunyikan malware dari program antivirus di computer? Sembunyikan saja di memori kartu grafis. Sebuah Alat yang memungkinkan hal seperti itu baru-baru ini dijual secara online, ini tentunya berita buruk bagi pengguna Windows.
Bleeping Computer menulis bahwa baru-baru ini seseorang menawarkan untuk menjual PoC di forum peretas. Mereka tidak mengungkapkan terlalu banyak detail tentang alat tersebut, meskipun mereka mencatat bahwa alat ini bekerja dengan mengalokasikan ruang alamat di buffer memori GPU untuk menyimpan kode berbahaya dan mengeksekusinya dari sana.
Penjual menambahkan bahwa kode hanya berfungsi pada PC Windows yang mendukung OpenCL 2.0 atau lebih tinggi. Mereka mengonfirmasi bahwa ini berfungsi pada kartu grafis AMD Radeon RX 5700 dan GeForce GTX 740M dan GTX 1650 dari Nvidia. Alat ini juga bekerja dengan grafis terintegrasi seperti Intel UHD 620/630.
Posting yang mengiklankan alat tersebut muncul di forum pada tanggal 8 Agustus. Sekitar dua minggu kemudian (25 Agustus), penjual mengungkapkan bahwa mereka telah menjual PoC kepada seseorang.
Pada 29 Agustus, grup riset Vx-underground men-tweet bahwa kode berbahaya memungkinkan eksekusi biner oleh GPU di ruang memorinya. Kami telah melihat malware berbasis GPU di masa lalu. Serangan Jellyfish open-source, yang dapat Anda temukan di GitHub, adalah PoC rootkit GPU berbasis Linux yang menggunakan teknik LD_PRELOAD dari OpenCL. Peneliti yang sama di belakang JellyFish juga menerbitkan PoC untuk keylogger berbasis GPU dan trojan untuk akses jarak jauh berbasis GPU untuk Windows.
“Ide utama di balik pendekatan kami adalah untuk memantau buffer keyboard sistem langsung dari GPU melalui DMA [akses memori langsung], tanpa kait atau modifikasi apa pun dalam kode kernel dan struktur data selain tabel halaman,” tulis para peneliti keylogger 2013.
“Evaluasi dari implementasi prototipe kami menunjukkan bahwa keylogger berbasis GPU dapat secara efektif merekam semua penekanan tombol pengguna, menyimpannya di ruang memori GPU, dan bahkan menganalisis data yang direkam di tempat, dengan overhead runtime yang dapat diabaikan,” jelas mereka.
Sebelumnya di tahun 2011, ditemukan ancaman malware yang menggunakan GPU untuk menambang Bitcoin. Penjual PoC tersebut mengatakan bahwa metode mereka berbeda dari JellyFish karena tidak bergantung pada pemetaan kode kembali pada userspace.(hh)