Un herramienta para ocultar malware en la memoria VRAM de la tarjeta gráfica y ejecutarse desde allí, se está vendiendo en un foro hacker de la Dark Web.

Los ordenadores procesan los datos y ejecutan las aplicaciones en la memoria RAM del dispositivo, lo que comúnmente se conoce como memoria principal.

Pero un dispositivo informático moderno, usa diferentes tipos de memoria. Las memorias ROM son solo de lectura (algunas reescribibles), y aunque se han dado casos de ROMs infectadas, no sirven para ejecutar apps o almacenar datos en tiempo real.

Tenemos también la memoria VRAM, llamada memoria gráfica o de vídeo, porque es la que usan las tarjetas gráficas y algunos portátiles en sus GPUs integradas.

Esta memoria gráfica se emplea para almacenar las texturas y los datos que necesita la tarjeta de vídeo cuando se tienen que mostrar gráficos en pantalla.

Desde un punto de vista técnico su función es similar a la memoria RAM, y de hecho muchos portátiles usan memoria RAM como memoria de vídeo. Pero aún así resulta complicado ejecutar aplicaciones directamente en la memoria VRAM.

Sin embargo, tal como cuenta Bleeping Computer, en un conocido foro hacker se está vendiendo una herramienta para esconder malware en la memoria VRAM de las tarjetas gráficas, y ya se han vendido varios copias.

Según su creador, esta herramienta funciona reservando espacio de direccionamiento en el búfer de la memoria de la GPU, y lo utiliza para almacenar malware y ejecutarlo desde ahí.

Ha comprobado que funciona con una tarjeta Radeon RX 5700 de AMD, así como las GeForce GTX 740M y GTX 1650 de NVIDIA. También con las GPU integradas UHD 620/630 de Intel.

La ventaja de usar este sistema para los ciberdelincuentes, es que los antivirus solo rastrean la memoria RAM, no la VRAM. Así que el malware podría mantenerse a salvo y evitar a casi todos los antivirus.

No es el primer virus que funciona en la GPU. Ya ha habido otros, siendo el más popular JellyFish.

Pero según su autor este nuevo malware es más sofisticado y más indetectable, porque no necesita acceder al espacio de trabajo del usuario, en donde podría ser detectado.