Вымогательское ПО DeadLock использует смарт-контракты Polygon для обхода обнаружения

Источник: Yellow Оригинальный заголовок: Вымогатель DeadLock использует смарт-контракты Polygon для обхода обнаружения

Оригинальная ссылка: Недавно обнаруженная новая версия вымогателя использует технологию блокчейн в качестве оружия для создания устойчивой инфраструктуры командования и управления, которую командам безопасности трудно разоблачить.

Киберследователи в четверг обнаружили, что вымогатель DeadLock, впервые выявленный в июле 2025 года, хранит адреса прокси-серверов внутри смарт-контрактов Polygon.

Эта техника позволяет операторам постоянно менять точки соединения между жертвами и злоумышленниками, делая традиционные методы блокировки неэффективными.

DeadLock сохраняет необычно низкий профиль несмотря на свою техническую сложность: он работает без партнерской программы и публичного сайта утечек данных.

Чем отличается DeadLock

В отличие от типичных групп вымогателей, которые публично унижают жертв, DeadLock угрожает продать украденные данные на нелегальных рынках.

Вредоносное ПО внедряет код JavaScript в HTML-файлы, которые взаимодействуют со смарт-контрактами в сети Polygon.

Эти контракты функционируют как децентрализованные хранилища адресов прокси, которые вредоносное ПО извлекает с помощью вызовов только для чтения в блокчейн, не вызывающих транзакционных комиссий.

Исследователи выявили как минимум три варианта DeadLock, а последние версии используют зашифрованные сообщения через Session для прямой связи с жертвами.

Почему важны атаки на базе блокчейн

Этот подход отражает аналогичные техники, которые группы угрозы-аналитики задокументировали после наблюдения за государственными актерами, использующими похожие методы.

Эта эксплуатация смарт-контрактов для доставки адресов прокси — интересный метод, при котором злоумышленники могут буквально применять бесконечные вариации этой техники.

Инфраструктура, хранящаяся в блокчейне, трудно уничтожить, потому что децентрализованные записи нельзя конфисковать или отключить так же, как традиционные серверы.

Заражения DeadLock переименовывают файлы с расширением “.dlock” и развертывают скрипты PowerShell для отключения служб Windows и удаления теневых копий.

Сообщается, что предыдущие атаки использовали уязвимости в антивирусном программном обеспечении и применяли техники “bring-your-own-vulnerable-driver” для завершения процессов обнаружения на конечных точках.

Исследователи признают, что все еще существуют пробелы в понимании методов первоначального доступа DeadLock и всей цепочки атак, хотя подтвердили, что группа недавно возобновила операции с новой инфраструктурой прокси.

Использование этой техники как государственными актерами, так и киберпреступниками с финансовой мотивацией свидетельствует о тревожной эволюции способов, которыми злоумышленники используют устойчивость блокчейна в злонамеренных целях.