Вимагач DeadLock використовує смарт-контракти Polygon для обходу виявлення

Джерело: Yellow Оригінальна назва: Вимагач DeadLock використовує смарт-контракти Polygon для обходу виявлення

Оригінальне посилання: Недавно виявлена нова версія вимагача використовує технологію блокчейн як зброю для створення стійкої інфраструктури командування та управління, яку важко зламати командам безпеки.

Кібербезпекові дослідники у четвер виявили, що вимагач DeadLock, вперше ідентифікований у липні 2025 року, зберігає адреси проксі-серверів у смарт-контрактах Polygon.

Ця техніка дозволяє операторам постійно змінювати точки з’єднання між жертвами та атакувальниками, роблячи традиційні методи блокування неефективними.

DeadLock підтримує надзвичайно низький профіль, незважаючи на свою технічну складність: він працює без партнерської програми та публічного сайту для витоку даних.

Що робить DeadLock особливим

На відміну від типових груп-вимагачів, які публічно соромлять жертв, DeadLock погрожує продавати викрадені дані на нелегальних ринках.

Шкідливе програмне забезпечення вставляє код JavaScript у HTML-файли, які спілкуються з смарт-контрактами у мережі Polygon.

Ці контракти функціонують як децентралізовані сховища проксі-адрес, які шкідливе програмне забезпечення отримує за допомогою викликів лише для читання до блокчейну, що не генерують транзакційних комісій.

Дослідники ідентифікували щонайменше три варіанти DeadLock, а найновіші версії використовують зашифроване повідомлення через Session для прямого зв’язку з жертвами.

Чому важливі атаки на основі блокчейну

Цей підхід відображає подібні техніки, які групи з аналізу загроз документували після спостереження за державними акторами, що використовують аналогічні методи.

Ця експлуатація смарт-контрактів для доставки проксі-адрес — цікавий спосіб, за допомогою якого зловмисники можуть буквально застосовувати безліч варіантів цієї техніки.

Інфраструктура, збережена у блокчейні, важко знищити, оскільки децентралізовані записи не можна конфіскувати або відключити так само, як традиційні сервери.

Інфекції DeadLock змінюють імена файлів з розширенням “.dlock” і розгортають скрипти PowerShell для відключення служб Windows та видалення тіньових копій.

За повідомленнями, попередні атаки використовували вразливості у антивірусному програмному забезпеченні та застосовували техніки “bring-your-own-vulnerable-driver” для завершення процесів виявлення на кінцевих точках.

Дослідники визнають, що все ще існують прогалини у розумінні початкових методів доступу DeadLock та всієї його ланцюжка атак, хоча підтвердили, що група нещодавно відновила свою діяльність із новою інфраструктурою проксі.

Використання цієї техніки як державними акторами, так і кіберзлочинцями з фінансовою мотивацією свідчить про тривожну еволюцію способів, якими зловмисники використовують стійкість блокчейну з злочинною метою.