Исследователи Group-IB обнаружили новый штамм программ-вымогателей, названный «DeadLock», который использует смарт-контракты Polygon как децентрализованное средство хранения и ротации прокси-адресов для своих операций командования и контроля (C2).
Встраивая код в машины жертв, который запрашивает конкретный смарт‑контракт, злоумышленники могут динамически обновлять прокси‑конечные точки в блокчейне, обходя уязвимости централизованных серверов, которые можно заблокировать или конфисковать.
Кампании DeadLock, впервые идентифицированной в июле 2025 года, держится в тени, без известных сайтов утечки данных или партнерских программ, продвигающих её. Тем не менее Group-IB подчёркивает, что использование неизменяемых транзакций в блокчейне для распространения прокси представляет собой «инновационный метод», вызывающий значительные трудности для традиционных стратегий удаления. Смарт‑контракт не требует от жертв отправлять транзакции или платить комиссии за газ, так как вредоносное ПО выполняет только операции чтения.
Как только будет получен новый прокси‑адрес, вымогатель устанавливает зашифрованные каналы с окружением жертвы для передачи требований выкупа и угрозы утечки данных. Ротация прокси на блокчейне повышает устойчивость, поскольку смарт‑контракт остаётся доступным на распределённых узлах даже если отдельные адреса попадают в чёрный список или удаляются из офф‑чейн инфраструктуры.
Group-IB предупреждает, что подход DeadLock может быть легко адаптирован другими злоумышленниками для сокрытия инфраструктуры, приводя в пример ранее зафиксированные инциденты «EtherHiding». Тактика обхода, основанная на блокчейне, подчёркивает двойственную природу смарт‑контрактов и подчёркивает необходимость эволюции средств кибербезопасности наряду с появляющимися ончейн‑векторами атак. Организациям рекомендуется отслеживать активность публичных смарт‑контрактов и внедрять ончейн‑разведку угроз в свои операционные процессы безопасности.
Комментарии (0)