Un ransomware scoperto di recente, denominato DeadLock, sta sfruttando in modo furtivo gli smart contract su Polygon per ruotare e distribuire indirizzi proxy, secondo quanto riferito dai ricercatori della società di cybersicurezza Group-IB.
L’azienda ha riferito giovedì che il ransomware DeadLock, individuato per la prima volta a luglio, ha registrato una “bassa esposizione”, poiché non è collegato ad alcun sito noto di data leak né a programmi di affiliazione, e presenta un numero limitato di vittime segnalate.
Tuttavia, Group-IB ha avvertito che, nonostante il ransomware mantenga un profilo basso, utilizza “metodi innovativi” che potrebbero rivelarsi pericolosi per le organizzazioni che non prendono sul serio la minaccia, soprattutto perché l’abuso di questa specifica blockchain per fini malevoli non è stato ampiamente documentato.
DeadLock sfrutta smart contract su Polygon per archiviare e ruotare gli indirizzi dei server proxy utilizzati per comunicare con le vittime. Il codice integrato nel ransomware interagisce con uno specifico indirizzo di smart contract e utilizza una funzione per aggiornare dinamicamente l’infrastruttura di command-and-control (C2).
Una volta che le vittime vengono infettate dal malware e i dati risultano cifrati, DeadLock le minaccia con una richiesta di riscatto e con la vendita delle informazioni sottratte nel caso in cui le sue richieste non vengano soddisfatte.
È possibile applicare infinite varianti della tecnica
Memorizzando gli indirizzi proxy on-chain, Group-IB ha spiegato che DeadLock costruisce un’infrastruttura estremamente difficile da smantellare, poiché non esiste un server centrale da disattivare e i dati della blockchain persistono indefinitamente sui nodi distribuiti in tutto il mondo.
Correlato: Hacker trovano modalità per nascondere malware negli smart contract di ETH
“Questo exploit degli smart contract per fornire indirizzi proxy è un metodo interessante che consente agli hacker di applicare letteralmente infinite varianti di questa tecnica; l'unico limite è l'immaginazione”, ha aggiunto.
Hacker nordcoreani hanno scoperto “EtherHiding”
L'uso degli smart contract come arma per la diffusione di malware non è una novità: Group-IB ha segnalato una tattica denominata “EtherHiding” che Google ha riportato nel mese di ottobre.
Un hacker nordcoreano soprannominato “UNC5342” ha utilizzato questa tecnica, “che consiste nello sfruttare le transazioni su blockchain pubbliche per archiviare e recuperare payload dannosi”, ha affermato.
EtherHiding consiste nell'incorporare codice dannoso, spesso sotto forma di payload JavaScript, all'interno di uno smart contract su una blockchain pubblica, ha spiegato Google all'epoca.
“Questo approccio trasforma essenzialmente la blockchain in un server di command-and-control (C2) decentralizzato e altamente resiliente”.
