تحذير: برمجية فدية جديدة 'DeadLock' تستخدم العقود الذكية على Polygon للبقاء غير مرئية

يهتم باحثو الأمن السيبراني بشكل متزايد بسلالة برامج الفدية المكتشفة حديثًا والتي تسمى DeadLock والتي تستغل العقود الذكية في Polygon لخدمة بنيتها التحتية بصمت وتجاوز أدوات الكشف التقليدية، كما يصور تقرير حديث صادر عن شركة الاستخبارات التهديدية Group-IB.

تم رصد DeadLock لأول مرة في يوليو 2025، وظل حتى الآن إلى حد كبير تحت الرادار لأنه لا يمتلك برنامج شركاء عام، ولا يمتلك موقعًا لتسريب البيانات، وارتبطت ضحاياه بعدد قليل نسبيًا من الضحايا المؤكدين.

ومع ذلك، يغطي هذا الملف استراتيجية أكثر تطورًا من الناحية التكنولوجية يعتقد الباحثون أنها تُظهر تغييرًا عالميًا أكثر في الطريقة التي يستخدم بها مجرمو الإنترنت البلوكشين العامة لأغراض إجرامية.

كيف تخفي DeadLock بنية برامج الفدية التحتية داخل العقود الذكية في Polygon

يُظهر تحليل Group-IB أن DeadLock يستخدم العقود الذكية المنشورة على شبكة Polygon لتخزين وتدوير عناوين الخوادم الوكيلة.

تعمل هذه الوكلاء كوسطاء بين الأنظمة المصابة ومشغلي برامج الفدية، مما يسمح لحركة القيادة والتحكم بتغيير نقاط النهاية دون الاعتماد على بنية تحتية مركزية يمكن الاستيلاء عليها أو حظرها.

من خلال الاستعلام عن العقد الذكي، تسترجع البرامج الضارة عنوان الوكيل الحالي من خلال عملية قراءة بسيطة لا تترك بصمة معاملاتية واضحة ولا تتكبد أي تكلفة شبكة.

قال الباحثون إن هذه التقنية تعكس الحملات السابقة، مثل EtherHiding، التي تم الكشف عنها العام الماضي، والتي استخدم فيها الفاعلون التهديديون الكوريون الشماليون بلوكتشين الإيثريوم لإخفاء وتوزيع حمولات البرامج الضارة.

في كلتا الحالتين، تم تحويل دفاتر الأستاذ العامة واللامركزية إلى قنوات اتصال مرنة يصعب على المدافعين تعطيلها. يمتد استخدام DeadLock لـ Polygon هذا المفهوم من خلال تضمين إدارة الوكيل مباشرة في العقد الذكي، مما يسمح للمهاجمين بتحديث البنية التحتية عند الطلب.

بمجرد النشر، يقوم DeadLock بتشفير الملفات وإضافة امتداد ".dlock"، ويغير أيقونات النظام، ويستبدل خلفية الضحية بتعليمات الفدية.

بمرور الوقت، تطورت مذكرات الفدية الخاصة بالمجموعة، حيث أشارت العينات المبكرة فقط إلى تشفير الملفات، بينما أشارت الإصدارات اللاحقة صراحة إلى أن البيانات الحساسة قد سُرقت وهددت ببيعها إذا لم يتم الدفع.

تعد مذكرات الفدية الأحدث أيضًا بـ "خدمات إضافية"، بما في ذلك تفصيل لكيفية اختراق الشبكة وضمانات بأن الضحية لن تكون مستهدفة مرة أخرى.

برامج الفدية هذه لا تقفل الملفات فقط - بل تفتح محادثة مع المتسللين

حددت Group-IB ما لا يقل عن ثلاث عينات متميزة من DeadLock من منتصف عام 2025، تُظهر كل منها تغييرات تدريجية في التكتيكات.

يشير تحليل نصوص PowerShell المرتبطة إلى أن البرامج الضارة تعطل بشكل عدواني الخدمات غير الأساسية، وتحذف نسخ الظل للحجم لمنع الاسترداد، وتضع في القائمة البيضاء مجموعة محدودة من العمليات، بما في ذلك بشكل ملحوظ AnyDesk

يعتقد المحققون أن AnyDesk يُستخدم كأداة وصول عن بُعد أساسية أثناء الهجمات، وهو اكتشاف يتسق مع تحقيقات الطب الشرعي الرقمي المنفصلة.

عنصر رئيسي في عملية DeadLock هو ملف HTML يتم إسقاطه على الأنظمة المصابة الذي يضم واجهة رسائل جلسة مشفرة. يمكن للضحايا التواصل مباشرة مع المهاجمين من خلال هذا الملف دون تثبيت برامج إضافية.

تسترجع JavaScript المضمنة عناوين الوكيل من العقد الذكي في Polygon، ثم توجه الرسائل المشفرة من خلال تلك الخوادم إلى معرف جلسة يتحكم فيه مشغلو برامج الفدية.

يُظهر تحليل المعاملات أن نفس المحفظة الإلكترونية أنشأت العقود الذكية المتطابقة المتعددة وحدثت بشكل متكرر عناوين الوكيل من خلال استدعاء وظيفة تحمل علامة "setProxy".

تم تمويل المحفظة من خلال عنوان مرتبط بالبورصة قبل وقت قصير من نشر العقود، مما يشير إلى إعداد متعمد.

يسمح التتبع التاريخي لهذه المعاملات للمدافعين بإعادة بناء البنية التحتية للوكيل السابقة، على الرغم من أن التصميم اللامركزي يعقد جهود الإزالة السريعة.

يأتي هذا الاكتشاف كجزء من زيادة إجمالية في الجرائم الإلكترونية المتعلقة بالتشفير، حيث تم سرقة أكثر من 3.4 مليار دولار من خلال عمليات الاختراق والاستغلال حتى أوائل ديسمبر 2025، مع مجموعات كورية شمالية مرتبطة بالدولة تمثل أكثر من 2 مليار دولار من هذا الإجمالي.