مجموعة برامج الفدية DeadLock، التي ظهرت لأول مرة في يوليو 2025، إلى دائرة الضوء مرة أخرى، وهذه المرة بسبب إساءة استخدام العقود الذكية لتقنية Polygon blockchain trac وتدوير عناوين خوادم البروكسي، وفقًا لبحث نشرته شركة الأمن السيبراني Group-IB.
عملية برامج الفدية عقودًا trac قائمة على تقنية البلوك تشين لتخزين عنوان URL لخادم الوكيل الخاص بالمجموعة، مما يسمح بتغييره بشكل متكرر يجعل من الصعب على المدافعين حظر البنية التحتية بشكل دائم.
بعد تشفير أنظمة الضحية، يقوم برنامج DeadLock بإسقاط ملف HTML يعمل كغلاف لمنصة المراسلة اللامركزية Session.
كيف يعمل برنامج الفدية DeadLock على موقع Polygon؟
يقوم كود جافا سكريبت المضمن داخل الملف بالاستعلام عن عقد ذكي محدد trac Polygon للحصول على عنوان URL للوكيل الحالي، والذي يقوم بعد ذلك بإعادة توجيه الرسائل المشفرة بين الضحية ومعرف جلسة المهاجم.
لا تُولّد هذه المكالمات الخاصة بسلسلة الكتل للقراءة فقط أي معاملات أو رسوم، مما يجعلها مجانية بالنسبة للمهاجمين للحفاظ عليها.
باحثو مجموعة Group-IB أن استغلال العقود الذكية trac عناوين الوكيل هو أسلوب مثير للاهتمام حيث يمكن للمهاجمين تطبيق عدد لا حصر له من المتغيرات لهذه التقنية، مع كون الخيال هو الحد الوحيد.
هذه التقنية غير موثقة بشكل جيد ويتم الإبلاغ عنها بشكل غير كافٍ، لكن استخدامها يكتسب تدريجياً tracفي الواقع العملي، وفقاً لباحثي الأمن.
تحقيق أجرته شركة Cisco Talos أن برنامج DeadLock يحصل على الوصول الأولي من خلال استغلال CVE-2024-51324، وهي ثغرة أمنية في برنامج Baidu Antivirus، باستخدام تقنية تُعرف باسم "إحضار برنامج التشغيل الضعيف الخاص بك" لإنهاء عمليات الكشف عن نقاط النهاية والاستجابة لها.
يبتكر ديدلوك أساليب
يختلف برنامج DeadLock عن معظم عمليات برامج الفدية لأنه يتخلى عن أسلوب الابتزاز المزدوج المعتاد ولا يمتلك موقعًا لتسريب البيانات حيث يمكنه نشر الهجمات.
بدلاً من ذلك، تهدد المجموعة ببيع البيانات المسروقة في الأسواق السوداء، بينما تقدم للضحايا تقارير أمنية وتعدهم بعدم استهدافهم مرة أخرى إذا تم دفع الفدية.
لم يكشف تتبع البنية التحتية الذي أجرته مجموعة Group-IB عن أي صلة بين برنامج DeadLock الخبيث وأي برامج تابعة معروفة لبرامج الفدية. في الواقع، تحافظ المجموعة على مستوى منخفض من النشاط. ومع ذلك، فقد عثروا على نسخ من العقود الذكية trac أُنشئت trac لأول مرة في أغسطس 2025 ، ثم حُدِّثت لاحقًا في نوفمبر 2025.
أعلنت مجموعة Group-IB أنها نجحت في "tracبنيتها التحتية من خلال معاملات البلوك تشين، وكشفت عن أنماط التمويل والخوادم النشطة"
تتبنى الجهات الفاعلة في الدول القومية أساليب
مجموعة جوجل لمعلومات التهديدات استخدام الجهة الفاعلة الكورية الشمالية UNC5342 لتقنية ذات صلة تسمى EtherHiding لتوصيل البرامج الضارة وتسهيل سرقة العملات المشفرة منذ فبراير 2025.
وفقًا لشركة جوجل، "يتضمن إخفاء الإيثيريوم تضمين رمز خبيث، غالبًا في شكل حمولات جافا سكريبت، داخل عقد ذكي trac سلسلة كتل عامة مثل BNB Smart Chain أو Ethereum ".
Polygon عبارة عن سلسلة كتل من الطبقة الثانية مبنية على البنية التحتية من الطبقة الأولى لـ Ethereum
على الرغم من أن برنامج DeadLock لا يزال محدود الانتشار والتأثير، إلا أن باحثي الأمن يحذرون من أنه يطبق أساليب مبتكرة تُظهر مجموعة مهارات قد تصبح خطيرة إذا لم تأخذ المؤسسات التهديد الذي يشكله على محمل الجد.
إلى جانب دعوة الشركات إلى أن تكون استباقية في اكتشاف البرامج الضارة، أوصت مجموعة الأعمال الدولية (Group-IB) بضرورة إضافة المزيد من طبقات الأمان، مثل المصادقة متعددة العوامل والحلول القائمةdentبيانات الاعتماد.
كما ذكرت شركة الأمن السيبراني أنه ينبغي على الشركات الاحتفاظ بنسخة احتياطية من البيانات، وتدريب موظفيها، ومعالجة الثغرات الأمنية، والأهم من ذلك كله، "عدم دفع الفدية مطلقاً" ولكن الاتصال بخبراء الاستجابةdent في أسرع وقت ممكن إذا تعرضت للهجوم.
