Le malware DeadLock utilise les contrats intelligents de Polygon pour dissimuler ses activités
Chapô : Un nouveau ransomware, nommé « DeadLock », utilise des contrats intelligents sur la blockchain Polygon pour établir une infrastructure de cybercriminalité difficile à détruire. Bien qu'il ait été découvert en juillet et n'ait que peu d'exposition, il met en lumière des méthodes innovantes qui pourraient représenter un risque sérieux pour les organisations. Les experts de Group-IB alertent sur le fait que l'utilisation malveillante de cette technologie pourrait se développer.
DeadLock exploite les contrats intelligents de la blockchain Polygon
Le ransomware DeadLock, récemment identifié par la société de cybersécurité Group-IB, tire parti des contrats intelligents sur Polygon pour dissimuler et faire pivoter des adresses proxy utilisées dans ses opérations. Découvert pour la première fois en juillet, ce logiciel malveillant affiche une « faible exposition » car il ne semble pas connecté à des sites bien connus de fuites de données ni à des programmes d'affiliation, avec seulement un « nombre limité de victimes signalées ».
Cependant, malgré son caractère discret, Group-IB avertit que ses techniques sont particulièrement sophistiquées et pourraient poser un danger considérable si elles ne sont pas prises au sérieux par les entreprises.
Une infrastructure difficile à perturber grâce aux adresses proxy stockées
En intégrant les adresses proxy directement sur la blockchain, DeadLock crée une structure extrêmement robuste et résiliente face aux tentatives d'arrêt. Étant donné qu'il n'existe pas de serveur central pouvant être ciblé, les données restent accessibles via plusieurs nœuds distribués mondialement.
Cela signifie que même si certaines parties du réseau sont compromises, l'ensemble du système peut continuer à fonctionner normalement. Les chercheurs affirment : « Cet exploit des contrats intelligents pour fournir des adresses proxy est une méthode intéressante où les attaquants peuvent littéralement appliquer des variantes infinies de cette technique ; l’imagination est la limite ».
Des techniques antérieures comme EtherHiding mises en avant
La militarisation des contrats intelligents n'est pas un phénomène nouveau. En octobre dernier, Google a rapporté une tactique surnommée « EtherHiding », utilisée par le groupe nord-coréen connu sous le nom d’UNC5342. Cette méthode consiste à manipuler les transactions sur les blockchains publiques afin d'héberger et récupérer des charges utiles malveillantes.
EtherHiding permet ainsi aux acteurs malintentionnés d'intégrer du code néfaste - souvent sous forme de JavaScript - dans ces contrats intelligents. Comme expliqué par Google : « Cette approche transforme essentiellement la blockchain en un serveur de commande et contrôle (C2) décentralisé et hautement résilient ».
Ces révélations soulignent l'évolution constante du paysage cybercriminel où chaque nouvelle technologie peut être détournée à fins hostiles.
Cointelegraph reste engagé envers un journalisme indépendant et transparent tout en encourageant ses lecteurs à vérifier indépendamment ces informations dans le cadre d'une consommation éclairée du contenu numérique lié aux menaces informatiques actuelles.
