A la hora de evitar la eliminación de
malware, sus desarrolladores suelen adoptar una estrategia que combina
persistencia e indetectabilidad. La primera característica facilita su copia o regeneración en caso de borrado, mientras que la segunda se basa en ofuscar dicho software para hacerlo invisible a los ojos de unos antivirus que
cada vez llegan más lejos. En ambos casos, existe una tendencia creciente a ocultar el
malware en los lugares más insospechados para evitar su detección, llegando incluso a sacarlo del disco duro.
Según indica
Bleeping Computer, un desarrollador de
malware ha vendido en un foro especializado una prueba de concepto gracias a la cual es posible ocultar software malicioso en la tarjeta gráfica. Pero no en los drivers o protegido por un certificado espurio, sino en el propio hardware. Concretamente, el
malware se oculta el buffer de la GPU para evitar la inspección de los antivirus, requiriendo para su funcionamiento "estaciones de trabajo Windows que soporten OpenCL 2.0 y superior".
Este método de ocultación habría sido probado exitosamente con tarjetas Intel UHD 620 y 630, Radeon RX 5700 y GeForce GTX 740M y 1650.
Al parecer el anuncio se publicó en el foro el 8 de agosto. Dos semanas después su autor señaló que ya lo había vendido, sin mencionar las condiciones o el importe. Esto, sin embargo, no quiere decir que vayamos a tener que esperar al primer ataque para saber cómo funciona; el repositorio de
malware VX-Underground ha anunciado que próximamente mostrará el funcionamiento de la técnica, avanzando que el código permite ejecutar binarios por la propia GPU y en la propia memoria de la GPU.
Como bien señala Bleeping Computer el uso de la memoria de la tarjeta gráfica para esconder
malware no es exactamente una novedad, pero hasta ahora solo había constancia de ejemplos creados por investigadores. El hecho de que desarrolladores de
malware estén comercializando herramientas especializadas resulta preocupante, y plantea incógnitas en lo que se refiere a cómo proteger elementos del hardware que hasta ahora se creían a salvo de atacantes.
Fuente: BleepingComputer