O vendedor ainda deu uma breve descrição de seu método, dizendo que tudo acontece no buffer da memória da placa de vídeo para armazenar o código e executar direto da VRAM. O anunciante diz ainda que essa forma de invasão só funciona em sistemas Windows que suportam o framework OpenCL 2.0 para cima.
O hacker garantiu que o código foi testado nas APUs Intel UHD 620/630, além das placas de vídeo AMD Radeon RX 5700 e NVIDIA GeForce GTX 740M e GTX 1650. Se o único requisito for o OpenCL 2.0 em diante, isso abre as chances para que seja possível executar a invasão em qualquer GPU moderna.
O anúncio foi publicado no dia 8 de agosto e, no dia 25, o vendedor já havia respondido aos interessados que a negociação já tinha sido feita. Não existe nenhum detalhe sobre a venda, obviamente, apenas que o código malware foi vendido para um grupo desconhecido.
Pesquisadores já haviam demonstrado algo parecido em 2015, mas o autor do novo malware alega que o método atual não tem nada a ver com os métodos anteriores. Já em 2013, pesquisadores do Institute of Computer Science – Foundation for Research and Technology (FORTH) na Grécia e na Universidade de Columbia, Nova Iorque, mostraram que GPUs podem hospedar operações de keylogger na memória.
O VX-Underground, um grupo de pessoas que diz ter a “maior coleção de código fonte de malware, amostras e pesquisas na internet”, irá demonstrar o uso da técnica em breve, segundo publicação no Twitter.