Недавно обнаруженная программа-вымогатель под названием «DeadLock» скрытно использует смарт-контракты Polygon для ротации и распространения прокси-адресов, сообщают исследователи из кибербезопасности Group-IB.
Компания сообщила в четверг, что программа-вымогатель DeadLock, впервые обнаруженная в июле, получила «небольшое распространение», поскольку не связана ни с одним известным сайтом утечки данных или партнерскими программами и имеет «ограниченное количество зафиксированных жертв».
Однако Group-IB предупредила, что, несмотря на то, что программа-вымогатель «не привлекает внимания», она использует «инновационные методы», которые могут быть опасны для организаций, не относящихся к вредоносному ПО серьезно, «особенно учитывая, что злоупотребление этой конкретной блокчейном в злонамеренных целях не получило широкой огласки».
DeadLock использует смарт-контракты Polygon для хранения и ротации адресов прокси-серверов, используемых для связи с жертвами. Встроенный в программу-вымогатель код взаимодействует с определенным адресом смарт-контракта и использует функцию для динамического обновления инфраструктуры управления и контроля.
После того как жертвы заражены вредоносным ПО и произошло шифрование, DeadLock угрожает им запиской с требованием выкупа и продажей украденных данных в случае невыполнения требований.
Бесконечное количество вариантов техники может быть применено
Сохраняя адреса прокси-серверов в блокчейне, Group-IB заявила, что DeadLock создает инфраструктуру, которую чрезвычайно трудно нарушить, поскольку отсутствует центральный сервер для блокировки, а данные блокчейна сохраняются неопределенно долго на распределенных узлах по всему миру.
«Это использование смарт-контрактов для доставки прокси-адресов — интересный метод, позволяющий злоумышленникам буквально применять бесконечное количество вариантов этой техники; предел — только воображение», — добавили они.
HTML-файл с внедренным приватным мессенджером Session для связи с злоумышленником. Источник: Group-IB
Северокорейские злоумышленники обнаружили «EtherHiding»
Использование смарт-контрактов для распространения вредоносного ПО — это не новость, Group-IB отмечает тактику под названием «EtherHiding», о которой Google сообщила в октябре.
Группа северокорейских злоумышленников, известная как «UNC5342», использовала эту технику, «которая заключается в использовании транзакций в публичных блокчейнах для хранения и извлечения вредоносных полезных нагрузок», — говорится в сообщении.
EtherHiding предполагает внедрение вредоносного кода, часто в виде полезных нагрузок JavaScript, в смарт-контракт в публичном блокчейне, объяснила Google в то время.
«Этот подход, по сути, превращает блокчейн в децентрализованный и высоконадежный сервер управления и контроля (C2)».
