Accueil
Actualités
Détails

Le logiciel malveillant DeadLock utilise la blockchain Polygon pour faire tourner les serveurs proxy

iconCoinJournal
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
MATIC
$0,370189--
AI summary iconRésumé

expand icon
Les actualités en chaîne révèlent que le logiciel malveillant DeadLock utilise désormais des contrats intelligents Polygon pour faire tourner les adresses des serveurs proxy, selon le rapport du 15 janvier de Group-IB. Cette tactique permet aux attaquants de communiquer avec les victimes sans utiliser de serveurs traditionnels de commande et de contrôle, ce qui complique les mises hors service. Le logiciel rançonneur extrait des données en chaîne sans facturer aux victimes des frais de gaz, une méthode que les chercheurs estiment pourrait se propager dans l'espace des actualités blockchain.
  • Group-IB a publié son rapport le 15 janvier et a indiqué que cette méthode pourrait rendre plus difficile l'interférence des défenseurs.
  • Le logiciel malveillant lit les données en chaîne, donc les victimes ne paient pas les frais de gaz.
  • Les chercheurs ont indiqué que Polygon n'était pas vulnérable, mais la tactique pourrait se propager.

Les groupes de rançongiciels s'appuient habituellement sur des serveurs de commande et de contrôle pour gérer les communications après avoir pénétré dans un système.

Mais les chercheurs en sécurité disent maintenant qu'une souche discrète utilise l'infrastructure blockchain d'une manière qui pourrait être plus difficile à bloquer.

Dans un rapport publié le 15 janv., entreprise de cybersécurité Group-IB a déclaré qu'une opération de rançongiciel connue sous le nom de DeadLock abuse des contrats intelligents Polygon (POL) pour stocker et faire tourner les adresses des serveurs proxy.

Ces serveurs proxy sont utilisés pour relayer la communication entre les attaquants et les victimes après que les systèmes sont infectés.

Puisque les informations sont stockées sur la chaîne et peuvent être mises à jour à tout moment, des chercheurs ont mis en garde contre le fait que cette approche pourrait rendre le backend du groupe plus résilient et plus difficile à perturber.

Contrats intelligents utilisés pour stocker des informations de proxy

Group-IB a indiqué que DeadLock ne dépend pas de la configuration habituelle des serveurs de commande et de contrôle fixes.

Au lieu de cela, une fois qu'une machine est compromise et chiffrée, le logiciel rançonneur interroge un contrat intelligent spécifique déployé sur le réseau Polygon.

Ce contrat stocke l'adresse la plus récente du proxy que DeadLock utilise pour communiquer. Le proxy agit comme une couche intermédiaire, aidant les attaquants à maintenir un contact sans exposer directement leur infrastructure principale.

Étant donné que les données du contrat intelligent sont publiquement lisibles, le logiciel malveillant peut récupérer les détails sans envoyer aucune transaction blockchain.

Cela signifie également que les victimes n'ont pas besoin de payer des frais de gaz ou d'interagir avec des portefeuilles.

DeadLock ne lit que les informations, traitant la blockchain comme une source persistante de données de configuration.

Infrastructure tournante sans mises à jour de logiciels malveillants

Une raison pour laquelle cette méthode se démarque est la rapidité avec laquelle les attaquants peuvent changer leurs routes de communication.

Group-IB a indiqué que les acteurs derrière DeadLock peuvent mettre à jour l'adresse du proxy stockée à l'intérieur du contrat chaque fois que nécessaire.

Cela leur donne la possibilité de faire tourner l'infrastructure sans modifier le logiciel de rançon lui-même ou déployer de nouvelles versions dans la nature.

Dans les cas classiques de rançongiciel, les défenseurs peuvent parfois bloquer le trafic en identifiant des serveurs connus de commandes et de contrôle.

Mais avec une liste de proxys sur la chaîne, tout proxy qui est signalé peut être remplacé simplement en mettant à jour la valeur stockée du contrat.

Une fois le contact établi via le proxy mis à jour, les victimes reçoivent des demandes de rançon accompagnées de menaces selon lesquelles les informations volées seront vendues si le paiement n'est pas effectué.

Pourquoi les prises deviennent plus difficiles

Group-IB a mis en garde contre le fait d'utiliser les données de la blockchain de cette manière, ce qui rend le sabotage significativement plus difficile.

Il n'existe pas de serveur central unique qui puisse être saisi, retiré ou mis hors service.

Même si une adresse proxy spécifique est bloquée, les attaquants peuvent en passer à une autre sans avoir à redéployer le logiciel malveillant.

Étant donné que le contrat intelligent reste accessible via les nœuds distribués de Polygon à travers le monde, les données de configuration peuvent continuer à exister même si l'infrastructure du côté des attaquants change.

Les chercheurs ont indiqué que cela donne aux opérateurs de rançongiciels un mécanisme de commande et de contrôle plus résilient par rapport aux configurations d'hébergement conventionnelles.

Une petite campagne avec une méthode inventive

DeadLock a été observé pour la première fois en juillet 2025 et a jusqu'à présent gardé un profil relativement bas.

Group-IB a indiqué que l'opération n'avait qu'un nombre limité de victimes confirmées.

Le rapport a également noté que DeadLock n'est pas lié à des programmes d'affiliation de rançongiciels connus et ne semble pas exploiter un site de fuite de données public.

Bien que cela puisse expliquer pourquoi le groupe a reçu moins d'attention que les grandes marques de rançongiciels, les chercheurs ont indiqué que son approche technique mérite une surveillance étroite.

Group-IB a mis en garde contre le fait que même si DeadLock reste petit, sa technique pourrait être copiée par des groupes de cybercriminels plus établis.

Aucune vulnérabilité Polygon n'est impliquée

Les chercheurs ont souligné que DeadLock n'exploitait aucune vulnérabilité dans Polygon lui-même.

Il ne s'attaque pas non plus aux contrats intelligents tiers tels que les protocoles de finance décentralisée, les portefeuilles ou les ponts.

Au lieu de cela, les attaquants explorent l'aspect public et immuable des données de la blockchain pour cacher des informations de configuration.

Group-IB a comparé la technique à des approches antérieures d'« EtherHiding », où les criminels utilisaient des réseaux blockchain pour distribuer des données de configuration malveillantes.

Plusieurs contrats intelligents liés à la campagne ont été déployés ou mis à jour entre août et nov. 2025, selon l'analyse de l'entreprise.

Les chercheurs ont indiqué que l'activité reste limitée pour l'instant, mais le concept pourrait être réutilisé sous de nombreuses formes différentes par d'autres acteurs malveillants.

Bien que les utilisateurs et développeurs de Polygon ne soient pas confrontés à un risque direct provenant de cette campagne spécifique, Group-IB a indiqué que l'affaire est un autre rappel du fait que les blockchains publiques peuvent être mal utilisées pour soutenir des activités criminelles hors chaîne de manière difficile à détecter et à démanteler.

Le message Le rançongiciel DeadLock abuse de la blockchain Polygon pour faire tourner des serveurs proxy discrètement a été publié(e) pour la première fois sur CoinJournal.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.