GPU als Einfallstor für Angreifer: Hacker verkauft Proof of Concept zur Ausführung von Malware aus dem Grafikspeicher

2
News Maurice Riebling Als bevorzugte Quelle auf Google hinzufügen
GPU als Einfallstor für Angreifer: Hacker verkauft Proof of Concept zur Ausführung von Malware aus dem Grafikspeicher (1)
Quelle: PC Games Hardware

In einem einschlägigen Hacker-Forum sei kürzlich ein Proof of Concept verkauft worden, mit dem sich Schadcode im Grafikspeicher ablegen und daraus ausführen ließe. Möglich sei das allerdings ausschließlich auf Windows-Rechnern, bei denen zudem das OpenCL 2.0-Framework unterstützt werden müsse.

Laut eines aktuellen Berichts wurde in einem einschlägigen Hacker-Forum kürzlich ein Proof of Concept angeboten, das die Unterbringung von Schadcode im Grafikspeicher und deren Ausführung daraus ermöglichen soll. Dadurch könne unbemerkt von gängiger Antivirus-Software agiert werden, die sich auf das Scannen des RAMs beschränkt.

Allerdings, so heißt es in dem Post, von dem bleepingcomputer.com einen Screenshot veröffentlichte, beschränke sich das Proof of Concept auf Windows-Rechner, die zudem Version 2.0 oder höher des OpenCL-Frameworks unterstützten müssen. Getestet wurde die Technik laut dem Anbieter in Verbindung mit integrierten Grafikeinheiten von Intel in Form von UHD 620 und UHD 630, AMDs Radeon RX 5700 sowie Nvidias Geforce GTX 740M und GTX 1650.

Post zum Angebot des Proof of Concept Quelle: bleepingcomputer.com Post zum Angebot des Proof of Concept

Zwischenzeitlich solle sich bereits ein Abnehmer gefunden haben. Während der Ursprungs-Beitrag am 8. August veröffentlicht wurde, folgte am 25. August ein weiterer Post mit entsprechender Bemerkung. Kurz darauf folgte zudem ein Tweet der Gruppierung "vx-underground". Die Malware-Sammler sprachen davon, die Technik schon bald demonstrieren zu wollen.

Empfohlener redaktioneller Inhalt [EMBED_URL] An dieser Stelle finden Sie externe Inhalte von [PLATTFORM]. Zum Schutz Ihrer persönlichen Daten werden externe Einbindungen erst angezeigt, wenn Sie dies durch Klick auf "Alle externen Inhalte laden" bestätigen: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Mehr dazu in unserer Datenschutzerklärung.
Externe Inhalte Mehr dazu in unserer Datenschutzerklärung.

Dass GPUs als Einfallstor für Angreifer und Schadcode dienen können, zeigten Sicherheitsforscher in den vergangenen Jahren bereits mehrfach. 2013 demonstrierten Forscher, dass sich Keylogger damit ausführen und die abgefangenen Daten im Grafikspeicher ablegen lassen.

Vorteilhaft für die Malware ist, dass Antivirus-Software nicht auf die Überwachung der GPU ausgelegt ist. Allerdings ist zumindest der oben erwähnte Keylogger von einem CPU-Prozess abhängig. Der ist mit 4 Kilobyte jedoch sehr leichtgewichtig und könne deshalb unauffällig in den Adressraum eines anderen Prozesses eingeschleust werden. Eine weitere Hürde für die Ausführung bilden zudem die zur Initialisierung benötigten Admin-Rechte. Die braucht es allerdings nicht konstant, sondern lediglich, um die Adresse des Keyboard-Buffers auszulesen und der GPU den notwendigen Zugriff auf den Speicherbereich einzuräumen.

2015 folgte derweil das Jellyfish Rootkit als Machbarkeitsstudie. Zunächst beschränkte sich die einzig auf Linux, später folgte dann jedoch auch eine Implementierung für Windows (WIN_JELLY). Dreh- und Angelpunkt von Jellyfish sind die OpenCL-Treiber, die installiert sein müssen.

2
    • Kommentare (2)

      Zur Diskussion im Forum
      • Von Gast1692738601
        Zitat von cx19
        <Sarkasmus> Norton und Avira werden das schon richten. </Sarkasmus>

        Wieder mal ein schönes Beispiel, dass Antivirensoftware immer langsamer ist als neue Angriffe aus dem Boden schießen.
        Vor allem bringt dann kein Update der Virendatenbank irgendwas, wenn der Virus schon aktiv ist und Gott weiß was kompromitiert hat und sich verkrochen hat und stealth am Scanner vorbei läuft (falls es sich um professionelle Arbeit handelt). Aber solange das Norton Icon Im Tray nicht meckert, ist alles in Ordnung
      • Von Gast1692738601
        Zitat von cx19
        <Sarkasmus> Norton und Avira werden das schon richten. </Sarkasmus>

        Wieder mal ein schönes Beispiel, dass Antivirensoftware immer langsamer ist als neue Angriffe aus dem Boden schießen.
        Vor allem bringt dann kein Update der Virendatenbank irgendwas, wenn der Virus schon aktiv ist und Gott weiß was kompromitiert hat und sich verkrochen hat und stealth am Scanner vorbei läuft (falls es sich um professionelle Arbeit handelt). Aber solange das Norton Icon Im Tray nicht meckert, ist alles in Ordnung
      • Von cx19 Freizeitschrauber(in)
        <Sarkasmus> Norton und Avira werden das schon richten. </Sarkasmus>

        Wieder mal ein schönes Beispiel, dass Antivirensoftware immer langsamer ist als neue Angriffe aus dem Boden schießen.
      Direkt zum Diskussionsende
  • Print / Abo
    Apps
    PCGH Magazin 08/2026 PC Games 08/2026 play5 08/2026 N-Zone 08/2026 Linux Magazin 08/2026 LinuxUser 08/2026 Raspberry Pi Geek 09/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk