برمجيات فدية DeadLock تستغل العقود الذكية لبوليغون لتفادي الإيقافات

قام باحثو Group-IB باكتشاف سلالة فدية جديدة تسمى «DeadLock»، تستخدم عقود بوليغون الذكية كوسط لامركزي لتخزين وتدوير عناوين البروكسي لعمليات القيادة والسيطرة (C2). من خلال تضمين رمز داخل أجهزة الضحايا يستعلم عقدًا ذكيًا محددًا، يمكن للمهاجمين تحديث نقاط وصول البروكسي على السلسلة بشكل ديناميكي، متجنبين ثغرات الخوادم المركزية التي قد تُحظر أو تُصادر. حملة DeadLock، التي تم التعرف عليها لأول مرة في يوليو 2025، ظلت بعيدة عن الأضواء، مع عدم وجود مواقع تسريب بيانات معروفة أو برامج تابعة تروّج لها. ومع ذلك، تبرز Group-IB أن استخدام معاملات البلوكشين الثابتة وغير القابلة للتغيير لتوزيع البروكسي يمثل «طريقة مبتكرة» تفرض تحديات كبيرة أمام استراتيجيات الإيقاف التقليدية. العقد الذكي لا يطالب الضحايا بإجراء معاملات أو دفع رسوم الغاز، حيث يقوم البرنامج الخبيث بتنفيذ عمليات قراءة فقط. بمجرد استرداد عنوان بروكسي جديد، تُنشئ البرمجية الخبيثة قنوات مشفرة مع بيئة الضحية لنقل مطالب الفدية وتهديدات بتسريب البيانات. يعزز تدوير البروكسي على السلسلة من المرونة، حيث يظل العقد الذكي متاحًا عبر عقد موزعة حتى لو تم إدراج عناوين فردية في القائمة السوداء أو إزالتها من البنية التحتية خارج السلسلة. تحذر Group-IB من أن نهج DeadLock يمكن أن يُستَخدم بسهولة من قبل جهات تهديد أخرى لإخفاء البنية التحتية، مستشهدة بحوادث سابقة لـ«EtherHiding». تؤكد Group-IB أن الطبيعة ذات الاستخدام المزدوج للعقود الذكية وتبرز الحاجة إلى تطور دفاعات الأمن السيبراني مواكبًا لمسارات الهجوم على السلسلة الناشئة. وتنصح المنظمات بمراقبة نشاط العقود الذكية العامة وتنفيذ استخبارات تهديدات على السلسلة ضمن عملياتها الأمنية.