Спецпроекты

Безопасность Стратегия безопасности Техника

Хакеры выставили на продажу изощренные трояны, от которых не помогают антивирусы

Киберпреступники выставили на продажу программные инструменты для запуска зловредного кода в графической памяти видеокарт AMD и Nvidia. Предлагается приобрести вредоносное ПО, которое невозможно определить с помощью традиционных антивирусных программ.

От теории к практике

На хакерских форумах появились сообщения с предложением продажи прототипа вредоносного ПО, который может храниться в памяти видеокарты скомпрометированной системы. По данным портала BleepingComputer, ссылающегося на сообщение исследователей из репозитория VX-Underground, размещенный таким образом зловредный код невозможно обнаружить с помощью традиционных антивирусов.

Подобный метод взлома систем не считается новым, поскольку в демонстрационных целях код с подобными возможностями уже публиковался в академических кругах. Однако до сих пор методы взлома посредством заражения графической карты считались «сырыми». Появление «коммерческого» предложения на хакерском форуме может означать переход злоумышленников к новому уровню изощренности кибератак, полагают в BleepingComputer.

Первые сообщения с предложением продажи зловредного кода появились на хакерских форумах в начале августа, и уже ближе к концу месяца «продавец» сообщил об успешном завершении первой сделки, не вдаваясь в ее подробности.

Windows-системам посвящается

Согласно сообщению хакера, выступившего продавцом вредоносного ПО, зловредный код размещается в буфере видеопамяти графического процессора, и его исполнение производится непосредственно оттуда. По его словам, зловред работает только с системами под управлением операционных системам Windows, где установлена поддержка фреймворка OpenCL версии 2.0 и новее.

gpu1.jpg
Злоумышленники скрывают вредоносное ПО в памяти видеокарт

В сообщении хакера, по данным BleepingComputer, также подчеркивалось, что зловредный код был протестирован на различных графических картах от разных производителей, включая Intel (UHD 620/630), AMD (Radeon RX 5700) и Nvidia (GeForce GTX 740M, GTX 1650).

Исследователи из репозитория угроз VX-Underground сообщили в своем твитер-аккаунте, что вредоносное ПО позволяет графическому процессору запускать исполнение машинного кода в своей памяти. Они также пообещали продемонстрировать на практике эту технологию в ближайшем будущем.

Прецеденты были, но под Linux

Согласно сообщению другого участника хакерского форума, вредоносное ПО для графических процессоров создавалось и ранее. В качестве примера он привел зловредный код, входящий в руткит JellyFish шестилетней давности, для запуска на графических процессорах в системах под Linux. Продавец зловредного ПО под Windows, в свою очередь, отверг связь своего проекта с JellyFish и заявил, что он использует другую методику.

Шесть лет назад разработчики руткита JellyFish также опубликовали код кейлоггера и трояна под графический процессор для удаленного доступа к системам на ОС Windows. Все три проекта, по данным BleepingComputer, были опубликованы в мае 2015 г., и с тех пор находятся в открытом публичном доступе.

Считается, что возможность графических процессоров выполнять работу кейлоггера и сохранять захваченные нажатия клавиш в своей памяти первыми доказали исследователи из Института компьютерных наук - Фонда исследований и технологий (FORTH) в Греции и Колумбийского университета в Нью-Йорке показали восемь лет назад.

В 2013 г. исследователи опубликовали на сайте Колумбийского университета статью под названием You Can Type, but You Can’t Hide: A Stealthy GPU-based Keylogger («Можете печатать, но не сможете скрыть: скрытый кейлоггер на базе графического процессора), где продемонстрировали способность вредоносных программ пользоваться вычислительной мощностью графического процессора для упаковки кода с очень сложным шифрованием, и намного быстрее центрального процессора.

В июле 2021 г. CNews рассказал о том, что злоумышленники, пишущие вредоносные программы, все чаще используют для этого редкие языки программирования. Согласно отчету об исследовании BlackBerry Research & Intelligence, они стали отдавать предпочтении языкам D (он же Dlang), Go (Golang) и Nim вместе с Rust.

Цель, которую преследуют вирусописатели, заключается вовсе не в изучении новых языков программирования. Для них это необходимость – они прибегают к использованию Go, Rust и других в первую очередь для того, чтобы экспертам в сфере информационной безопасности было сложнее выявить их творения. Например, хакеры могут написать загрузчик на «экзотическом» языке, в котором они прячут вредоносное ПО, созданное с использованием более распространенного языка. Согласно отчету, на Go, Rust и других также пишутся так называемые дропперы (droppers – англ.), использующиеся для декодирования, загрузки и установки вредоносного ПО.

Владимир Бахур

Короткая ссылка