Onderzoekers zijn erin geslaagd om malware voor Linux en Windows te ontwikkelen die zich in de videokaart kan verstoppen. Een versie voor de Mac zou in ontwikkeling zijn. Het gaat om de op Linuxgebaseerde Jellyfish rootkit en Demon keylogger, waarvan een proof-of-concept op de website GitHub is verschenen. Vorige week verscheen de Linuxversie al, maar nu is er ook een versie voor Windows online gezet.

Volgens de ontwikkelaars, van wie onbekend is wie het zijn, heeft malware die zich in de videokaart kan verbergen verschillende voordelen. Zo zijn er op internet geen analysetools te vinden om "GPU-malware" te analyseren. Daarnaast kan de GPU van de videokaart voor allerlei wiskundige berekeningen worden gebruikt. De Demon keylogger van de onderzoekers is gebaseerd op een keylogger die in 2013 al werd gepresenteerd. De keylogger kan de toetsaanslagen van de gebruiker in het geheugen van de videokaart opslaan.

Vereisten

Beide malware-exemplaren vereisen een videokaart met AMD- of Nvidia-chip om te werken. Kaarten met een chipset van Intel worden via een specifieke software ontwikkelkit ondersteund. De rootkit gebruikt daarnaast de OpenCL API van de Kronos Group, een consortium van GPU-leveranciers en andere bedrijven die open standaarden ontwikkelen. De OpenCL-drivers moeten dan ook op het aangevallen systeem aanwezig zijn als de rootkit wil functioneren. De Windowsversie van de malware wordt als een remote acces tool (RAT) omschreven en kopieert een DLL-bestand van de harde schijf naar het geheugen van de videokaart.

Als het systeem wordt herstart zal de DLL in het GPU-geheugen worden gezocht en wanneer gevonden worden uitgevoerd, zonder dat hierbij enige activiteit op de harde schijf plaatsvindt. Ook in het geval van de Windowsversie moeten er specifieke drivers en software ontwikkelkit op de computer aanwezig zijn. De onderzoekers stellen dat de malware nog in ontwikkeling is en dat ze die alleen voor educatieve doeleinden hebben ontwikkeld en niet voor het gebruik ervan door derden verantwoordelijk zijn.