L’exécution d’un malware dans la mémoire d’un GPU permet de contourner le scan de sécurité de la RAM du PC. Cette technique, qui provient, à l’origine, de travaux universitaires, est, de nos jours, à la portée de pirates informatiques.
Une nouvelle forme de malware commence à émerger sur les fora de pirates informatiques. Le site Bleeping Computer a détecté, pour la première fois, la commercialisation d’une preuve de concept, permettant d’exécuter un code malveillant dans la mémoire d’une carte graphique d’un ordinateur Windows.
Un nouveau type de malware en circulation
Cette façon de faire aurait l’avantage de contourner les outils de sécurité, qui scannent la mémoire RAM pour détecter des malwares. Pour que ça soit opérationnel, il faut toutefois que le système supporte le framework OpenCL v2 ou supérieur. Le vendeur souligne avoir testé avec succès cette technique sur divers circuits graphiques du commerce, dont l’Intel UHD 620/630, la Radeon RX 5700 ou la GeForce GTX 1650.
À lire aussi : Bénin – Union Européenne: don de matériels informatiques à la CRIET par l’ONUDC
La vente aurait été effectuée le 25 août dernier, un peu plus de deux semaines après la première diffusion de l’annonce. Le prix n’a évidemment pas été divulgué. L’identité des parties prenantes est également inconnue. Des chercheurs en sécurité de VX Underground ont apparemment pu mettre la main sur la preuve de concept. Ils devraient « bientôt » publier une démonstration technique.
Un travail universitaire entre les mains des hackers ?
En réalité, cette technique d’exécution dans une carte graphique n’est pas totalement nouvelle. Il y a six ans, des chercheurs en sécurité avaient déjà créé un rootkit pour Linux, baptisé « JellyFish », capable de s’exécuter dans une carte graphique. Ils ont également créé pour Windows un rootkit et un enregistreur de frappe, qui s’exécutent dans un GPU. Tous ces codes sont disponibles sur GitHub. La piste d’une exécution de code malveillant sur le GPU avait également été explorée, quelques années auparavant par un groupe de chercheurs de Hellas Institute of Computer Science et Columbia University.
À lire aussi : Bénin – Cybercriminalité: alerte sur une supposée offre de subventions du gouvernement
Il semblerait donc — et c’est la véritable nouveauté — que ce travail universitaire commence à être mis en application par les pirates. Ce qui est plutôt inquiétant.