Finalement, le "déblocage" des cartes LHR contenait... 17 virus !

Hier soir, un développeur inconnu du nom de Sergey, prétendument Polonais, se vantait d’avoir déjoué le système de protection LHR des cartes RTX 3000, autorisant ainsi soi-disant ces dernières à miner de l’ethereum à pleine vitesse. Une nouvelle peu encourageante pour les joueurs, mais qui s’avère être, en fait, une belle arnaque !

Si plusieurs éléments pouvaient mettre la puce à l’oreille — déploiement sur GitHub sans sources, développeur inconnu au bataillon, contact uniquement par Telegram et date de sortie avancée du 26 février au 23 sans justification — rien ne vaut une analyse en bonne et due forme du contenu exact des fichiers installés. Et là, les choses puent à plein nez : en effet, le projet se compose de deux fichiers : un installeur censé débloquer le VBIOS et un driver modifié censé accepter la carte bidouillée. Dans un premier temps, examinons le premier cité : avec une taille de seulement 7 Mio, difficile de croire que le bousin intègre une quelconque ressource permettant de patcher efficacement les cartes. À titre de comparaison, le jailbreak CheckRa1n d’iOS 14.x pèse 12,6 Mio et n’est absolument pas empaqueté dans un programme d’installation (pour quoi faire, d’ailleurs ? Il n’est question ici que de modifier un VBIOS), et l’application Magisk utilisée pour rooter les terminaux Android accuse 17 Mio. En fait, l’installeur de Sergey ne fait qu’une seule chose : se connecter à une adresse IP codée en dur pour télécharger la suite du programme et l’exécuter. Notez, au passage, que cet utilitaire de téléchargement annonce avoir été compilé le... 11 décembre 2009 : vous sentez venir l’arnaque ?

Désormais, l’adresse demandée est injoignable (code d’erreur 512, aucun serveur ne répondant sur le port demandé), mais le principe en lui-même qui n’inspirait pas confiance : quitte à offrir un téléchargement, pourquoi ne pas donner directement l’intégralité du binaire ?

Les sirènes des cryptomonaies : un appât de choix pour les arnaqueurs

Pour en avoir le cœur net, il suffit de se pencher sur le soi-disant pilote modifié. Cette fois-ci, la taille ne fait plus aucun doute : avec 155 kio — contre près de 800 Mio pour les dernières versions du caméléon —, impossible d’y avoir casé quoi que ce soit de fonctionnel pour le GPU. Par contre, une rapide analyse sur VirusTotal détecte pas moins de 17 morceaux de code malfaisant, dont de réjouissant trojans : joie. En outre, profitant du statut de driver pour demander les droits administrateur sans éveiller les soupçons de l’utilisateur, le bousin peut rester en arrière-plan sans apparaître dans le gestionnaire de tâche dans la liste des applications ouvertes : l’emplacement idéal pour aller contacter un serveur malfaisant et farfouiller on ne sait quoi (probablement participer à du DDoS, dérober des données confidentielles — un portefeuille Ethereum, à tout hasard — ou encore jouer la carte ransomware).

Si cela ne suffisait pas, vous pouvez rajouter des connexions suspectes chez les ragoteurs assez aventureux (nos pensées accompagnent notamment Jeff 71, pour qui la désinfection au lance-flamme doit être de mise) pour avoir tenté l’expérience chez eux, ainsi que la décision de GitHub de fermer le dépôt originel, et voilà l’affaire réglée : un bon gros fake, dangereux qui plus est. Cependant, si vous avez installé le bousin, vous avez probablement encore les fameuses données téléchargées par le premier installeur, qui sont activement recherchées pour étude : direction ce GitHub pour en savoir plus et soumettre les fichiers incriminés.

Moralité ? Mieux vaut savoir raison garder, ses manches retrousser et ses précautions prendre lorsque que l’affaire paraît bigrement alléchante. Nombreux sont les mineurs déçus des restrictions artificielles du caméléon, un sentiment prompt à la crédulité mal placée : redoublons ainsi de méfiance devant des propositions trop belles pour ne pas cacher Pascal sous roche  !

Pour un live de décorticage complet (et longuet), c’est par ici !