Em resumo
- A empresa de segurança cibernética Group-IB alertou que a família de ransomware DeadLock está usando contratos inteligentes Polygon para distribuir e alternar endereços de servidores proxy, ajudando-os a evitar a detecção.
- O ransomware permaneceu fora do radar devido a poucas vítimas, nenhum programa de afiliados e nenhum site público de vazamento de dados.
- A técnica reflete as divulgações do Google no ano passado sobre “EtherHiding”, que abusa de contratos inteligentes Ethereum para ocultar malware.
Uma cepa recém-descoberta de ransomware está usando Polígono contratos inteligentes para rotação e distribuição de endereços de servidores proxy para dispositivos infiltrados, alertou a empresa de segurança cibernética Group-IB na quinta-feira.
O malware, apelidado de DeadLock, foi identificado pela primeira vez em julho de 2025 e até agora atraiu pouca atenção porque não possui um programa público de afiliados e um site de vazamento de dados e infectou apenas um número limitado de vítimas, segundo a empresa.
“Embora seja discreto e ainda assim de baixo impacto, aplica métodos inovadores que apresentam um conjunto de competências em evolução que pode tornar-se perigoso se as organizações não levarem a sério esta ameaça emergente”, afirmou o Group-IB num blog.
O uso de DeadLock de contratos inteligentes entregar endereços proxy é “um método interessante onde os invasores podem literalmente aplicar infinitas variantes dessa técnica; a imaginação é o limite”, observou a empresa. O Group-IB apontou um relatório recente do Google Threat Intelligence Group destacando o uso de uma técnica semelhante chamada “EtherHiding” empregada por hackers norte-coreanos.
O que é EtherHidding?
EtherHiding é uma campanha divulgada no ano passado em que hackers da RPDC usaram o Ethereum blockchain para ocultar e entregar software malicioso. As vítimas normalmente são atraídas por sites comprometidos – geralmente páginas WordPress – que carregam um pequeno trecho de JavaScript. Esse código então extrai a carga oculta do blockchainpermitindo que invasores distribuam malware de uma forma altamente resiliente a remoções.
Tanto o EtherHiding quanto o DeadLock reaproveitam registros públicos e descentralizados como canais secretos que são difíceis de serem bloqueados ou desmantelados pelos defensores. DeadLock aproveita proxies rotativos, que são servidores que alteram regularmente o IP de um usuário, dificultando o rastreamento ou bloqueio.
Embora o Group-IB tenha admitido que “os vetores de acesso iniciais e outras etapas importantes dos ataques permanecem desconhecidos neste momento”, afirmou que as infecções por DeadLock renomeiam os arquivos criptografados com uma extensão “.dlock” e substituem os planos de fundo da área de trabalho por notas de resgate.
Versões mais recentes também alertam as vítimas de que dados confidenciais foram roubados e podem ser vendidos ou vazados se o resgate não for pago. Pelo menos três variantes do malware foram identificadas até agora.
Versões anteriores dependiam de servidores supostamente comprometidos, mas os pesquisadores agora acreditam que o grupo opera sua própria infraestrutura. A principal inovação, entretanto, está na forma como o DeadLock recupera e gerencia endereços de servidores.
“Pesquisadores do Grupo-IB descobriram código JS dentro do arquivo HTML que interage com um contrato inteligente na rede Polygon”, explicou. “Esta lista RPC contém os endpoints disponíveis para interagir com a rede Polygon ou blockchain, atuando como gateways que conectam aplicativos aos nós existentes do blockchain.”
A sua versão observada mais recentemente também incorpora canais de comunicação entre a vítima e o agressor. DeadLock descarta um arquivo HTML que atua como um wrapper em torno da sessão do aplicativo de mensagens criptografadas.
“O principal objetivo do arquivo HTML é facilitar a comunicação direta entre o operador do DeadLock e a vítima”, disse o Group-IB.
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
