Група шкідливого програмного забезпечення використовує смарт-контракти Polygon для уникнення блокувань

Дослідники з кібербезпеки повідомляють, що низькопрофільна група з використанням програм-вимагачів використовує смарт-контракти Polygon для приховування та обертання своєї інфраструктури командування та управління.
Резюме

• Вимагательське програмне забезпечення DeadLock, вперше зафіксоване в липні 2025 року, зберігає обертові проксі-адреси всередині смарт-контрактів Polygon для уникнення зняття з обігу.
• Техніка базується лише на читанні даних у мережі та не використовує вразливості Polygon або інших смарт-контрактів.
• Дослідники попереджають, що цей метод є дешевим, децентралізованим і важким для блокування, хоча кампанія має поки що обмежену кількість підтверджених жертв.

Фахівці з кібербезпеки попереджають, що нещодавно виявлений різновид програм-вимагачів використовує смарт-контракти Polygon незвичайним чином, що може ускладнити злом його інфраструктури.

У звіті, опублікованому 15 січня, дослідники з компанії Group-IB повідомили, що програмне забезпечення DeadLock зловживає публічно доступними для читання смарт-контрактами мережі Polygon (POL) для зберігання та обертання адрес проксі-серверів, які використовуються для зв’язку з інфікованими жертвами.

Вперше DeadLock був зафіксований у липні 2025 року і з того часу залишався досить непомітним. Group-IB повідомила, що кількість підтверджених жертв обмежена і що ця операція не пов’язана з відомими програмами-партнерами з використанням програм-вимагачів або публічними сайтами витоку даних.

Незважаючи на низьку видимість, компанія попередила, що використовувані техніки є дуже винахідливими і можуть становити серйозну загрозу, якщо їх скопіюють більш усталені групи.

Як працює ця техніка

Замість того, щоб покладатися на традиційні сервери командування та управління, які часто можна заблокувати або зняти з обігу, DeadLock вставляє код, який запитує конкретний смарт-контракт Polygon після зараження системи та її шифрування. Цей контракт зберігає поточну адресу проксі, яка використовується для передачі зв’язку між зловмисниками та жертвою.

Оскільки дані зберігаються у мережі, зловмисники можуть оновлювати адресу проксі будь-коли, що дозволяє швидко обертати інфраструктуру без повторного розгортання шкідливого програмного забезпечення. Жертви не повинні надсилати транзакції або платити газові збори, оскільки програмне забезпечення-вимагач виконує лише операції читання у блокчейні.

Після встановлення контакту жертви отримують вимоги викупу разом із погрозами, що викрадені дані будуть продані, якщо платіж не буде здійснено. Group-IB зазначила, що цей підхід робить інфраструктуру програм-вимагача набагато більш стійкою.

Це не центральний сервер, який можна зупинити, і дані контракту залишаються доступними на розподілених вузлах по всьому світу, що значно ускладнює зняття з обігу.

Вразливості Polygon не залучені

Дослідники підкреслюють, що DeadLock не використовує вразливості самого Polygon або сторонніх смарт-контрактів, таких як протоколи децентралізованих фінансів, гаманці або мости. Програмне забезпечення-вимагач просто зловживає публічною та незмінною природою даних блокчейну для приховування конфігураційної інформації, що є схожим на раніше застосовувані техніки “EtherHiding”.

Згідно з аналізом Group-IB, кілька смарт-контрактів, пов’язаних із кампанією, були розгорнуті або оновлені між серпнем і листопадом 2025 року. Хоча активність наразі обмежена, компанія попередила, що цю концепцію можна багаторазово повторювати у різних варіаціях іншими зловмисниками.

Хоча користувачі та розробники Polygon не стикаються безпосередньо з ризиком від цієї кампанії, дослідники зазначають, що цей випадок підкреслює, як публічні блокчейни можуть бути неправомірно використані для підтримки поза-ланцюгової злочинної діяльності у способах, важких для виявлення та знешкодження.