Ransomware DeadLock wykorzystuje inteligentne kontrakty Polygon do unikania śledzenia

Według monitoringu Group-IB, rodzina ransomware DeadLock wykorzystuje smart kontrakty Polygon do dystrybucji i rotacji adresów serwerów proxy, aby unikać wykrycia przez systemy bezpieczeństwa. To złośliwe oprogramowanie zostało po raz pierwszy wykryte w lipcu 2025 roku i działa poprzez osadzanie kodu JS w plikach HTML, który komunikuje się z siecią Polygon, wykorzystując listę RPC jako bramę do uzyskania adresów serwerów kontrolowanych przez atakujących. Ta technika jest podobna do wcześniej wykrytej metody EtherHiding i ma na celu wykorzystanie zdecentralizowanej księgi do budowy trudnego do zablokowania, ukrytego kanału komunikacyjnego. DeadLock ma obecnie co najmniej trzy warianty, a najnowsza wersja integruje aplikację do szyfrowanej komunikacji Session, umożliwiając bezpośrednią rozmowę z ofiarami.