Conocemos multitud de casos de malware ‘tradicional’ que explota directamente la CPU de ordenadores, pero a lo largo de los últimos días han sido a la luz dos ejemplos nuevos de aplicaciones maliciosas que atacan directamente la tarjeta gráfica, en lugar de la unidad central de procesamiento.
Estamos hablando de dos aplicaciones reveladas recientemente por el usuario de GitHub x0r1. Por un lado, tenemos el rootkit Jellyfish que, como cualquier software de su naturaleza, pretende aprovecharse de los recursos de nuestro ordenador, y el keylogger Demon, cuya intención es registrar todas nuestras pulsaciones de teclado. Y todo ello desde nuestra GPU.
Las razones para explotar la GPU en lugar de la CPU
¿Pero por qué los desarrolladores de malware han decidido pasar de la CPU a la GPU? Pues básicamente porque, a pesar de ser un proceso algo más complejo, este tipo de infección proporciona ventajas adicionales sobre los métodos más habituales de ataque.
Jellyfish
Si nos detenemos a pensar sobre el rootkit Jellyfish, hay que apuntar que no hay herramientas online para analizar tarjetas gráficas en busca de este tipo malware, lo que le permite ejecutarse de manera todavía más sigilosa. Por otro lado, el software malicioso es capaz de permanecer en el ordenador incluso después de su apagado.
Además, este software basado en Linux puede espiar la CPU a través del DMA y aprovecharse de la capacidad computacional de la GPU para realizar operaciones matemáticas. Todo una mina de oro, y nunca mejor dicho, para la minería de Bitcoins, por ejemplo, y otros procesos incluso más profundos.
Parece lógico, por tanto, que los desarrolladores de aplicaciones maliciosas quieran explotar esta vía. Eso sí, no es tan sencillo cómo infectar la memoria de la CPU. Hasta ahora Jellyfish requiere que la tarjeta gráfica de la víctima sea Nvidia o AMD, y sólo tiene una compatibilidad limitada con tarjetas Intel. Como requisito adicional, la víctima también debe tener instalado controladores OpenCL para que la infección sea del todo exitosa.
Demon
En el caso del keylogger Demon, sus desarrolladores han facilitado muy pocos datos de momento. Sólo sabemos que se ha desarrollado para demostrar la validez de un estudio publicado por la Universidad de Columbia en 2013, en el que se afirmaba que este tipo de prácticas eran plausibles.
Y los responsables de Demon lo han logrado, proporcionando el código para un malware capaz de espiar el buffer del teclado desde la tarjeta gráfica, también a través del acceso directo a memoria,capturando todas las pulsaciones de teclado, almacenándolas en el espacio de memoria de la GPU e incluso analizando los datos capturados in situ.
Ninguno de los dos ejemplos de malware está completamente desarrollado, pero queda patente el riesgo para los usuarios que existan estos prototipos que puedan aprovecharse de nuestras tarjetas gráficas de esta manera.
Fuente: www.malavida.com
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
