الصفحة الرئيسية
الأخبار
التفاصيل

ديدلوك رانسوموار يُستخدم بوليجون بلوك تشين لتدوير خوادم البروكسي

iconCoinJournal
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
MATIC
$0.369987--
AI summary iconملخص

expand icon
أفادت تقارير أخبارية على السلسلة بأن برنامج الفدية DeadLock يستخدم الآن عقود الذكاء في بوليغون لتدوير عناوين خوادم الوكيل، وفقًا للتقرير الصادر في 15 يناير من قِبل مجموعة IB. تسمح هذه الاستراتيجية للمهاجمين بالتواصل مع الضحايا دون استخدام خوادم التحكم التقليدية، مما يعقد عمليات الاستيلاء. يقوم برنامج الفدية بسحب البيانات على السلسلة دون فرض رسوم الغاز على الضحايا، وهو أسلوب يُعتقد أن الباحثون يشيرون إلى انتشاره في مجال الأخبار المتعلق بالبلوك تشين.
  • نشرت جروب-آي بي تقريرها في 15 يناير وأوضحت أن الطريقة قد تجعل من الصعب على المدافعين التصدي للإزعاج.
  • يقرأ البرمجيات الضارة البيانات على السلسلة، لذلك لا تدفع الضحايا رسوم الغاز.
  • قال الباحثون إن بوليغون ليس معرضًا للخطر، ولكن يمكن أن ينتشر الأسلوب.

غالبًا ما تعتمد مجموعات الفدية على خوادم الأوامر والتحكم لإدارة الاتصالات بعد اختراق النظام.

لكن الباحثين الأمنيين الآن يقولون إن سلالة منخفضة الملف التعريفي تستخدم بنية blockchain بطريقة قد تكون أصعب لمنعها.

في تقرير نُشر في 15 ينايروقالت شركة الأمن السيبراني Group-IB إن عملية رansomware تُعرف باسم DeadLock تستغل عقود الذكاء الخاصة بـ Polygon (POL) لتخزين وتدوير عناوين خوادم الـ proxy.

تُستخدم هذه الخوادم الوكيلة لنقل الاتصال بين المهاجمين والضحايا بعد إصابة الأنظمة.

لأن المعلومات تقع على السلسلة ويمكن تحديثها في أي وقت، حذّر الباحثون من أن هذه الطريقة قد تجعل خلفية المجموعة أكثر صلابة وصعوبة في التشويش عليها.

العقود الذكية تُستخدم لتخزين معلومات الوكيل

قالت جروب-إي بي إن ديدلوك لا يعتمد على التكوين المعتاد للخوادم الثابتة ل명령 وتحكم.

بدلاً من ذلك، بمجرد أن تُصاب الآلة وتُشفَّر، تقوم برمجيات الفدية بالاستعلام عن عقد ذكي محدد تم نشره على شبكة بوليجون.

يُخزّن هذا العقد آخر عنوان بروكسي يستخدمه DeadLock للاتصال. يعمل البروكسي كطبقة وسطى، مما يساعد المهاجمين على الحفاظ على الاتصال دون كشف البنية التحتية الرئيسية بشكل مباشر.

نظراً لأن بيانات العقد الذكي قابلة للقراءة بشكل علني، يمكن للمال웨ير استرداد التفاصيل دون إرسال أي معاملات على سلسلة الكتل.

يعني ذلك أيضًا أن الضحايا لا يحتاجون إلى دفع رسوم الغاز أو التفاعل مع المحافظ.

تقرأ DeadLock المعلومات فقط، مع معاملة سلسلة الكتل كمصدر دائم لمعلومات التكوين.

بنية تحتية دوارة بدون تحديثات برمجيات خبيثة

إن أحد الأسباب التي تجعل هذه الطريقة مميزة هو سرعة قدرة المهاجمين على تغيير مسارات الاتصال الخاصة بهم.

قالت جروب-IB إن الممثلين وراء DeadLock يمكنهم تحديث عنوان البروكسي المخزن داخل العقد عند الحاجة.

وهذا يمنحهم القدرة على تدوير البنية التحتية دون تعديل البرنامج الضار نفسه أو نشر إصدارات جديدة في البرية.

في حالات الransomware التقليدية، يمكن للدفاعات أحيانًا منع حركة المرور عن طريق تحديد خوادم القيادة والتحكم المعروفة.

لكن مع قائمة وكلاء على السلسلة، يمكن استبدال أي وكيلاً يُشار إليه ببساطة عن طريق تحديث القيمة المخزنة في العقد.

بمجرد تأسيس الاتصال من خلال الوسيط المحدث، تتلقى الضحايا مطالب بدفع فدية مع تهديدات بأن المعلومات المسروقة سيتم بيعها إذا لم يتم الدفع.

لماذا تصبح عمليات الإسقاط أكثر صعوبة

حذّر جروب-آي بي من أن استخدام بيانات البلوك تشين بهذه الطريقة يجعل التشويش أكثر صعوبة بشكل كبير.

ليس هناك خادم مركز واحد يمكن مصادرته أو إزالته أو إيقافه.

حتى إذا تم حظر عنوان بروكسي معين، يمكن للهاكرز التبديل إلى عنوان آخر دون الحاجة إلى إعادة نشر البرمجيات الخبيثة.

نظراً لأن العقد الذكي يظل متاحاً من خلال العقد الموزعة لبوليغون في جميع أنحاء العالم، يمكن أن يستمر وجود بيانات التكوين حتى لو تغيرت البنية التحتية من جانب المهاجمين.

قال الباحثون إن هذا يمنح مشغلي البرمجيات الخبيثة الفدية آلية أكثر قدرة على التحمل في التحكم بال الأوامر مقارنةً بالإعدادات التقليدية لل-hosting.

حملة صغيرة بأسلوب مبتكر

تم رصد DeadLock لأول مرة في يوليو 2025 وظل منخفض الظهور نسبيًا حتى الآن.

قالت جروب-IB إن العملية لديها عدد محدود من الضحايا المؤكدين فقط.

أشار التقرير أيضًا إلى أن DeadLock ليس مرتبطًا ببرامج الشراكة المعروفة لبرامج الفدية ولا يبدو أنه يدير موقعًا علنيًا لتسريب البيانات.

بينما قد يفسر ذلك سبب تلقي المجموعة اهتماماً أقل من العلامات التجارية الكبرى لبرامج الفدية، قالت الباحثون إن منهجيتها التقنية تستحق المراقبة الوثيقة.

حذّر جروب-IB من أن حتى لو ظل مختبر DeadLock صغيرًا، فقد تُقلَّد تقنيته من قبل مجموعات جرائم إلكترونية أكثر تطورًا.

لا يوجد ثغرة متضمنة في بولي곤

أكد الباحثون أن DeadLock لا يستغل أي ثغرة في Polygon نفسها.

كما أنه لا يقوم أيضًا بخرق العقود الذكية التابعة لطرف ثالث مثل بروتوكولات المالية اللامركزية أو المحافظ أو الجسور.

بدلاً من ذلك، يستغل المهاجمون الطبيعة العامة وغير القابلة للتغيير لبيانات البلوكشين ل隱藏 معلومات التكوين.

قامت مجموعة Group-IB بمقارنة التقنية إلى الأساليب السابقة "EtherHiding"، حيث استخدم المجرمون شبكات البلوكشين لتوزيع بيانات التكوين الضارة.

أُجريت تحليلات الشركة ووجدت أن عدداً من العقود الذكية المرتبطة بالحملة تم نشرها أو تحديثها بين أغسطس ونوفمبر 2025.

قال الباحثون إن النشاط ما زال محدودًا في الوقت الحالي، لكن المفهوم يمكن إعادة استخدامه من قبل أطراف خبيثة أخرى بعدة أشكال مختلفة.

بينما لا يواجه المستخدمون والمبرمجون في بوليغون خطرًا مباشرًا من هذه الحملة المحددة، قالت جروب-آي بي إن هذه الحالة تذكير آخر بأن السلاسل العامة لل블وكشين يمكن أن تُساء استخدامها لدعم الأنشطة الإجرامية خارج السلسلة بطرق صعبة الكشف والتفكيك.

المنشور يستخدم برنامج DeadLock الخبيث سلسلة البلوك تشين Polygon لتشغيل خوادم البروكسي بشكل هادئ ظهر لأول مرة على مجلة العملة.

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.