DeadLock برامج الفدية، عقدة ذكية من Polygon لتوزيع عنوان خادم الوكيل بشكل ديناميكي

تزداد التهديدات الأمنية تعقيدًا بشكل متزايد. وفقًا لنتائج المراقبة الأخيرة لـ Group-IB، قام فريق الفدية DeadLock بتطوير تقنية جديدة ومتطورة للتملص من الكشف. يستغل هذا البرمجية الخبيثة عقود ذكية على شبكة Polygon من خلال تغيير عنوان خادم الوكيل بشكل مستمر، مما يسمح له بتجاوز أنظمة الكشف الأمنية.

ظهور تقنيات متقدمة للتملص من التتبع

تم اكتشاف DeadLock لأول مرة في منتصف عام 2025، ويختلف عن البرمجيات الخبيثة التقليدية في النهج الذي يتبعه. يحقن المهاجمون شفرة JavaScript تتفاعل مع شبكة Polygon داخل ملفات HTML. تستخدم هذه الشفرة قائمة استدعاءات RPC (نداء الإجراء البعيد) كبوابة، وتقوم تلقائيًا بالحصول على وتحديث عناوين الخوادم التي يتحكم فيها البنية التحتية للهجوم. تستغل هذه التقنية خصائص عدم القابلية للتغيير والتوزيع في البلوكشين، مما يصعب على أنظمة الكشف المركزية التقليدية حظرها.

تحليل آلية الهجوم عبر خادم الوكيل

الجوهر في هذه التقنية هو إدارة عناوين خوادم الوكيل بشكل ديناميكي. يقرأ DeadLock المعلومات المخزنة في العقود الذكية على البلوكشين ويغير مسار الاتصال بشكل دوري إلى خادم وكيل جديد. تشبه هذه الطريقة البرمجية الخبيثة EtherHiding التي تم اكتشافها سابقًا، ولكن DeadLock أنشأ بنية تحتية أكثر أتمتة وقابلية للتوسع. يؤدي التغيير المتكرر لعناوين خوادم الوكيل إلى إلغاء قوائم الحظر في الوقت الحقيقي، مع استمرار قناة الاتصال بين المهاجم والضحية.

تهديدات الفدية التي تتطور باستمرار

تم التعرف على ثلاثة أنواع فرعية على الأقل حتى الآن، مع أن الإصدار الأحدث منها أكثر تهديدًا. قام المهاجمون بدمج تطبيقات الاتصال المشفرة Session مباشرة في برامج الفدية، مما يتيح لهم التفاوض مباشرة مع الضحايا. يظهر ذلك أن مشغلي برامج الفدية يطورون تقنيات التملص من الحماية بالإضافة إلى طرق تحقيق الأرباح بعد الهجوم. من المحتمل أن يتم تقليد تقنية إدارة خوادم الوكيل لـ DeadLock من قبل عائلات برمجيات خبيثة أخرى في المستقبل، مما يمثل تحديًا جديدًا لفِرَق الدفاع السيبراني.