Група шкідливого програмного забезпечення використовує Polygon для уникнення блокувань

Дослідники з кібербезпеки повідомляють, що низькопрофільна група з використанням програм-вимагачів використовує смарт-контракти Polygon для приховування та обертання своєї інфраструктури командування та управління.

Коротко

• Вимагательське програмне забезпечення DeadLock, вперше зафіксоване в липні 2025 року, зберігає обертові проксі-адреси всередині смарт-контрактів Polygon для уникнення зняття блокувань.
• Техніка базується лише на читанні даних у мережі та не використовує вразливості Polygon або інших смарт-контрактів.
• Дослідники попереджають, що цей метод є дешевим, децентралізованим і важким для блокування, хоча кампанія має поки що обмежену кількість підтверджених жертв.

Кібербезпекові дослідники попереджають, що нещодавно виявлений різновид програм-вимагачів використовує смарт-контракти Polygon у незвичайний спосіб, що може ускладнити злом його інфраструктури.

У звіті, опублікованому 15 січня, дослідники з компанії Group-IB повідомили, що програм-вимагач, відомий як DeadLock, зловживає публічно доступними для читання смарт-контрактами мережі Polygon (POL) для зберігання та обертання адрес проксі-серверів, які використовуються для зв’язку з інфікованими жертвами.

DeadLock вперше був зафіксований у липні 2025 року і з того часу залишався досить непомітним. За словами Group-IB, операція має обмежену кількість підтверджених жертв і не пов’язана з відомими програмами-партнерами з програм-вимагачів або публічними сайтами витоку даних.

Незважаючи на свою низьку видимість, компанія попереджає, що використовувані техніки є дуже винахідливими і можуть становити серйозну загрозу, якщо їх скопіюють більш усталені групи.

Як працює техніка

Замість того, щоб покладатися на традиційні сервери командування та управління, які часто можна заблокувати або зняти з мережі, DeadLock вставляє код, який запитує конкретний смарт-контракт Polygon після зараження системи та її шифрування. Цей контракт зберігає поточну адресу проксі, яка використовується для передачі зв’язку між зловмисниками та жертвою.

Оскільки дані зберігаються у мережі, зловмисники можуть оновлювати адресу проксі в будь-який час, що дозволяє швидко обертати інфраструктуру без повторного розгортання шкідливого програмного забезпечення. Жертви не повинні надсилати транзакції або платити газові збори, оскільки програм-вимагач виконує лише операції читання у блокчейні.

Після встановлення контакту жертви отримують вимоги викупу разом із погрозами, що вкрадені дані будуть продані, якщо платіж не буде здійснено. Group-IB зазначає, що цей підхід робить інфраструктуру програм-вимагача набагато більш стійкою.

Це не має центрального сервера для зупинки, а дані контракту залишаються доступними на розподілених вузлах по всьому світу, що значно ускладнює зняття блокувань.

Вразливості Polygon не залучені

Дослідники підкреслюють, що DeadLock не використовує вразливості самого Polygon або сторонніх смарт-контрактів, таких як протоколи децентралізованих фінансів, гаманці або мости. Програм-вимагач просто зловживає публічною та незмінною природою даних блокчейну для приховування конфігураційної інформації, що є схожим на раніше застосовувані техніки “EtherHiding”.

Згідно з аналізом Group-IB, кілька смарт-контрактів, пов’язаних із кампанією, були розгорнуті або оновлені між серпнем і листопадом 2025 року. Хоча активність наразі обмежена, компанія попереджає, що цю концепцію можна багаторазово повторювати у різних варіаціях іншими загрозливими акторами.

Хоча користувачі та розробники Polygon не стикаються з прямим ризиком від цієї кампанії, дослідники кажуть, що цей випадок підкреслює, як публічні блокчейни можуть бути неправомірно використані для підтримки поза-ланцюгової злочинної діяльності у способах, важких для виявлення та знешкодження.