Новый вид вредоносного ПО DeadLock использует смарт-контракты Polygon для скрытой работы и обхода блокировок

Эксперты Group‑IB выявили новую вредоносную программу под названием DeadLock, которая использует смарт‑контракты сети Polygon для поддержания скрытой работы и избежания блокировки. Программа‑вымогатель, впервые обнаруженная в июле, пока имеет ограниченное распространение и не связана с известными утечками данных или партнерскими программами. Однако Group‑IB предупреждает о потенциальной опасности, поскольку DeadLock применяет инновационные методы, которые могут представлять угрозу для организаций, не уделяющих достаточного внимания кибербезопасности.

DeadLock использует смарт‑контракты Polygon для хранения и динамического обновления прокси‑адресов серверов, используемых для связи с жертвами. Вредоносный код взаимодействует с конкретным адресом смарт‑контракта, что позволяет ему автоматически обновлять инфраструктуру управления. После заражения устройства и шифрования данных, программа отправляет жертве требование выкупа, угрожая раскрытием украденных данных в случае невыполнения условий.

Ключевым аспектом DeadLock является использование блокчейна для хранения прокси‑адресов. Это создает сложную для нейтрализации инфраструктуру, лишенную центрального сервера, и обеспечивает устойчивость к блокировкам благодаря распределенному характеру данных.

Этот метод, как отмечают специалисты Group‑IB, представляет собой интересный подход, позволяющий злоумышленникам создавать бесконечное количество вариаций и ограничиваться только своим воображением. Это не первый случай использования смарт-контрактов для распространения вредоносного ПО. Тактика EtherHiding, выявленная Google в октябре, демонстрирует аналогичный подход. Северокорейская хакерская группа UNC5342 использовала транзакции в публичных блокчейнах для хранения и извлечения вредоносных данных.