想在電腦殺毒軟體檢查系統RAM時將惡意代碼隱藏起來？ 很簡單，只需將其隱藏在顯卡的VRAM中。 最近有人在網上出售一種能夠實現這種功能的概念驗證工具，這對Windows用戶來說可能是個壞消息。

Bleeping Computer寫道，最近有人在一個駭客論壇上出售一種PoC。 他們沒有透露關於該工具的太多細節，但其工作原理是在GPU記憶體緩衝區分配位址空間來存儲惡意代碼，並從那裡執行它。

賣家補充說，該代碼只在支援OpenCL 2.0或更高版本的Windows電腦上工作。 他們證實它在AMD的Radeon RX 5700和Nvidia的GeForce GTX 740M和GTX 1650顯卡上可以工作。 它也適用於英特爾的UHD 620/630集成圖形。

8月8日，論壇上出現了宣傳該工具的帖子。 大約兩周后（8月25日），賣家透露，他們已經將PoC賣給了別人。 8月29日，研究小組Vx-underground在Twitter上說，惡意代碼使GPU在其記憶體空間中執行二進制。 它將「很快」展示這一技術。

我們過去曾見過基於GPU的惡意軟體，例如你可以在GitHub上找到開源的Jellyfish攻擊方式，這是一個基於Linux的GPU rootkit PoC，利用了OpenCL的LD_PRELOAD技術。 JellyFish背後的研究人員還發佈了基於GPU的鍵盤記錄器和基於GPU的Windows遠端訪問木馬的PoC。

這種方法的技術核心是通過DMA[直接記憶體訪問]直接從GPU監控系統的鍵盤緩衝區，除了頁表之外，在內核的代碼和數據結構中沒有任何挂鉤或修改。 對攻擊代碼原型實現的評估表明，基於GPU的鍵盤記錄器可以有效地記錄所有的使用者按鍵，將它們存儲在GPU的記憶體空間中，甚至可以就地分析記錄的數據，而運行時間的開銷甚至可以忽略不計。

早在2011年，安全人員就發現了一種新的惡意軟體威脅，利用GPU來挖掘比特幣。 但是最近PoC的賣家說，他們的方法與JellyFish不同，因為它不依賴代碼映射回用戶空間。