Group-IB raziskovalci so odkrili nov sev izsiljevalskega softvera, poimenovan «DeadLock», ki uporablja pametne pogodbe Polygon kot decentraliziran medij za shranjevanje in rotacijo proxy naslovov za svoje ukazno-nadzorne (C2) operacije. Z vdelavo kode v računalnike žrtev, ki poizveduje določeno pametno pogodbo, napadalci lahko dinamično posodabljajo proxy končne točke na verigi, s čimer se izognejo ranljivostim centraliziranih strežnikov, ki jih je mogoče blokirati ali zaseči.
Kampanja «DeadLock», prvič identificirana julija 2025, je ohranjala nizek profil, brez znanih strani za uhajanje podatkov ali partnerskih programov, ki bi jo promovirali. Kljub temu Group-IB izpostavlja, da uporaba neizbrisljivih transakcij na verigi blokov za distribucijo proxyjev predstavlja «inovativno metodo», ki povzroča znatne izzive za tradicionalne strategije izkoreninjenja. Zlonamerna programska oprema ne zahteva, da žrtve oddajo transakcije ali plačajo stroške plina, saj izvaja le operacije branja.
Ko se pridobi nov proxy naslov, izsiljevalski program vzpostavi šifrirane kanale z žrtvinim okoljem za prenos zahtev za odkupnino in grožnjo iznositve podatkov. Rotacija proxyjev na verigi blokov povečuje odpornost, saj pametna pogodba ostaja dostopna po razpršenih vozliščih, tudi če so posamezni naslovi na črni listi ali so odstranjeni iz zunajverižne infrastrukture.
Group-IB opozarja, da bi pristop «DeadLock» lahko zlahka prilagodili drugi napadalci, da skrijejo infrastrukturo, pri čemer navajajo prejšnje incidente «EtherHiding». Taktična izogibanje, zasnovano na blockchainu, poudarja dvojno uporabnost pametnih pogodb in poudarja potrebo po tem, da se varnostni mehanizmi kibernetske varnosti evoluirajo skupaj z nastajajočimi napadi na verigi. Organizacije naj spremljajo javno aktivnost pametnih pogodb in uvedejo inteligenco groženj na verigi v svoje varnostne operacije.
Komentarji (0)