هکرها در حال بررسی راههای جدیدی برای معرفی و استفاده از نرمافزارهای مخرب بر روی رایانههای قربانیان هستند و اخیراً یاد گرفتهاند که از کارتهای ویدیویی برای این منظور استفاده کنند. در یکی از فروم های هکرها، ظاهرا روسی، یک نمایشگر فناوری (PoC) فروخته شد که به شما امکان می دهد کدهای مخرب را در حافظه ویدیویی شتاب دهنده گرافیکی وارد کنید و سپس آن را از آنجا اجرا کنید. آنتی ویروس ها قادر به شناسایی اکسپلویت نخواهند بود زیرا معمولا فقط RAM را اسکن می کنند.
پیش از این، کارت های ویدئویی تنها برای انجام یک کار در نظر گرفته شده بودند - پردازش گرافیک های سه بعدی. با وجود این واقعیت که وظیفه اصلی آنها بدون تغییر باقی مانده است، خود کارت های ویدئویی به نوعی اکوسیستم محاسباتی بسته تبدیل شده اند. امروزه، آنها شامل هزاران بلوک برای شتاب گرافیک، چندین هسته اصلی که این فرآیند را مدیریت می کنند، و همچنین، حافظه بافر خود (VRAM)، که در آن بافت های گرافیکی ذخیره می شود، هستند.
همانطور که BleepingComputer می نویسد، هکرها روشی را برای مکان یابی و ذخیره کدهای مخرب در حافظه کارت گرافیک ایجاد کرده اند که در نتیجه آن توسط یک آنتی ویروس قابل شناسایی نیست. هیچ چیز دقیقاً در مورد نحوه عملکرد این اکسپلویت مشخص نیست. هکری که آن را نوشته فقط گفته است که اجازه می دهد یک برنامه مخرب در حافظه ویدیو قرار داده شود و سپس مستقیماً از آنجا اجرا شود. او همچنین اضافه کرد که این اکسپلویت فقط با سیستمعاملهای ویندوزی کار میکند که از چارچوب OpenCL 2.0 به بعد پشتیبانی میکنند. به گفته وی، او عملکرد بدافزار را با گرافیکهای یکپارچه Intel UHD 620 و UHD 630 و همچنین کارتهای ویدیویی گسسته Radeon RX 5700، GeForce GTX 1650 و GeForce GTX 740M موبایل آزمایش کرد. این امر تعداد زیادی از سیستم ها را مورد حمله قرار می دهد. تیم تحقیقاتی Vx-underground از طریق صفحه خود Twitter گزارش داد که در آینده نزدیک عملکرد فناوری هک مشخص شده را نشان خواهد داد.
اخیراً فردی ناشناس یک تکنیک بدافزار را به گروهی از بازیگران تهدید فروخته است.
این کد مخرب اجازه می داد که باینری ها توسط GPU و در فضای آدرس حافظه GPU و به جای CPU ها اجرا شوند.
به زودی این تکنیک را نشان خواهیم داد.
-vx-underground (vxunderground) اوت 29، 2021
لازم به ذکر است که همین تیم چندین سال پیش اکسپلویت های منبع باز Jellyfish را منتشر کرد که از OpenCL نیز برای اتصال به عملکردهای سیستم رایانه شخصی و اجبار اجرای کدهای مخرب از GPU استفاده می کند. نویسنده اکسپلویت جدید نیز به نوبه خود ارتباط با Jellyfish را تکذیب کرد و اظهار داشت که روش هک او متفاوت است. هکر نگفت چه کسی تظاهرکننده و همچنین مبلغ معامله را خریده است.
همچنین بخوانید:
- این هکر ادعا می کند که اطلاعات بیش از 100 میلیون مشتری T-Mobile را در اختیار دارد
- هکرهای مشتاق نصب شده اند Android (MIUI 11) در آیفون