Informatique

Le déverrouilleur RTX v2 de NVIDIA est un malware

By Flavien ROUX

Présenté comme un outil de performance pour GPU NVIDIA, le déverrouilleur RTX v2 s’est révélé être un malware dangereux.

Cet article explore ses mécanismes d’infection, ses impacts sur les systèmes, et les mesures de prévention à adopter.

À retenir :

  • Le déverrouilleur RTX v2 est un cheval de Troie ciblant les utilisateurs de GPU NVIDIA.
  • Il exploite les failles de confiance dans la communauté crypto pour s’infiltrer.
  • Les conséquences incluent le vol de données et la compromission du réseau utilisateur.

Les promesses mensongères du déverrouilleur RTX v2 de NVIDIA

En février 2022, un outil nommé « NVIDIA RTX LHR v2 Unlocker » fait irruption sur GitHub, promettant de libérer la puissance de calcul limitée des cartes RTX LHR. Signé par un mystérieux développeur, Sergey, ce logiciel aurait permis à des modèles comme les RTX 3070 LHR ou les RTX 3080 Ti de retrouver des performances de minage allant jusqu’à 115 MH/s.

« Un outil qui promet des miracles est souvent le début d’un cauchemar informatique. »

Alain Mercier, analyste cybersécurité indépendant

Relayé par plusieurs médias spécialisés, le déverrouilleur RTX v2 a séduit une large communauté de mineurs, avides de booster leurs cartes graphiques pour miner de l’Ethereum. En réalité, ce programme modifiait illégalement le BIOS des GPU, introduisant une série de scripts malveillants invisibles à l’œil nu.

A lire également :  Garuda Linux : Une distribution Linux basée sur Arch conçue pour la vitesse et la beauté

Détection du subterfuge : une analyse communautaire décisive

C’est lors d’un livestream diffusé par Red Panda Mining que la supercherie a été démasquée. Les mineurs ChumpchangeXD et Y3TI ont révélé que le fichier ‘LHRUnlocker Install.msi’ injectait un malware via le processus powershell.exe.

Le programme accédait aux lecteurs système, surchargeait le CPU et établissait une connexion furtive vers un serveur distant pour voler des données personnelles.

Tableau des indicateurs de compromission du malware RTX v2

Comportement observéInterprétation en sécurité
Utilisation anormale de PowerShellTentative d’exécution à privilèges élevés
Connexion au domaine drivers.sergeydev.comCommunication avec serveur de commande (C2)
Exécution de RegAsm.exe détournéeInjection en mémoire sans écriture sur disque
Exfiltration via Gofile.ioVol organisé des données stockées localement

Les impacts majeurs pour les utilisateurs de cartes RTX

L’infection par le déverrouilleur RTX v2 ne se limitait pas à un simple ralentissement. De nombreux témoignages évoquent des conséquences graves : vol de portefeuilles crypto, infections réseau, et perte d’accès administrateur.

« Je pensais optimiser mes cartes RTX, j’ai perdu mes clés MetaMask et tous mes accès. »

Louis T., ancien mineur basé à Lyon

Selon une analyse publiée par JoeSandbox, le niveau de malveillance du fichier atteint 100% de certitude. Des éditeurs comme Kaspersky, McAfee, Symantec et Microsoft Defender l’ont reconnu comme cheval de Troie.

Comment ouvrir le panneau de contrôle Nvidia

Analyse technique détaillée du mode opératoire

L’une des forces de ce malware RTX v2 repose sur son approche furtive :

Hameçonnage et contournement de sécurité

  • Utilisation de forums spécialisés pour piéger les passionnés
  • Installation via MSI avec élévation de privilèges Windows
  • Exécution en mémoire (code réflexif) pour éviter les antivirus classiques
  • Proxy avec RegAsm.exe, normalement utilisé pour l’enregistrement d’assemblages .NET

« Ce n’est plus l’utilisateur qui exécute le malware, c’est le malware qui utilise l’utilisateur. »

Claire Béthune, ingénieure en rétro-ingénierie

L’outil est resté en ligne sur GitHub pendant plusieurs jours, attirant des milliers de téléchargements avant sa suppression.

A lire également :  Comment obtenir les remises militaires pour Microsoft Office et Microsoft Store ?

Pourquoi ce malware a fonctionné : le contexte LHR

Depuis mi-2021, NVIDIA a intégré un limiteur de taux de hachage (LHR) dans ses cartes RTX 3000, pour décourager le minage de cryptomonnaie. Cette décision a provoqué une ruée vers :

  • Les anciens GPU non limités (RTX 2080, RTX 3090 non-LHR)
  • Des outils capables de contourner le LHR

Le déverrouilleur RTX v2 visait clairement les utilisateurs peu familiers avec les risques liés aux exécutables modifiant le BIOS ou manipulant PowerShell.

Recommandations de sécurité face aux outils non officiels

Les conséquences de cette attaque devraient servir de leçon pour les utilisateurs de cartes NVIDIA RTX :

  • Ne jamais modifier le BIOS d’un GPU sans vérification cryptographique
  • Utiliser une sandbox virtuelle avant toute exécution d’outil non signé
  • Bloquer les connexions vers des domaines suspects comme sergeydev.com

Liste de recommandations immédiates

  • Analyse avec Malwarebytes ou ESET Online Scanner
  • Surveillance des connexions sortantes via Wireshark
  • Réinstallation complète du système si compromission avérée

« La sécurité informatique ne commence pas dans les lignes de code, mais dans les décisions de l’utilisateur. »

Jean Delmas, analyste en systèmes distribués

Partagez vos témoignages ou vos conseils dans les commentaires pour aider la communauté à se prémunir de ces menaces.