DeadLock Ransomware Usando Contratos Inteligentes Polygon para Evadir Detecção

Resumo

• A empresa de cibersegurança Group-IB alertou que a família de ransomware DeadLock está a usar contratos inteligentes da Polygon para distribuir e rotacionar endereços de servidores proxy, ajudando a evitar a deteção.
• O ransomware manteve-se discreto devido ao número reduzido de vítimas, à ausência de um programa de afiliados e de um site de vazamento de dados público.
• A técnica espelha as divulgações da Google no ano passado relativas ao “EtherHiding”, que abusam de contratos inteligentes do Ethereum para ocultar malware.

Uma nova variante de ransomware descoberta está a usar contratos inteligentes da Polygon para rotacionar e distribuir endereços de servidores proxy, infiltrando-se em dispositivos, alertou a empresa de cibersegurança Group‑IB na quinta-feira. O malware, denominado DeadLock, foi identificado pela primeira vez em julho de 2025 e até agora tem atraído pouca atenção devido à ausência de um programa de afiliados público, de um site de vazamento de dados e ao fato de ter infectado apenas um número limitado de vítimas, segundo a empresa.

🚨 Ransomware DeadLock: Quando Blockchain Encontra o Cibercrime

A Group-IB descobriu uma nova ameaça sofisticada que reescreve o manual do ransomware. DeadLock aproveita contratos inteligentes da Polygon para rotacionar endereços proxy, uma técnica discreta e pouco reportada que contorna as abordagens tradicionais… pic.twitter.com/rlPu9gZd5F

— Group-IB Global (@GroupIB) 15 de janeiro de 2026

“Embora seja de baixo perfil e ainda de impacto reduzido, aplica métodos inovadores que demonstram um conjunto de habilidades em evolução, o que pode tornar-se perigoso se as organizações não levarem a sério esta ameaça emergente,” afirmou a Group-IB num blog. O uso de contratos inteligentes pelo DeadLock para entregar endereços proxy é “um método interessante onde os atacantes podem literalmente aplicar variantes infinitas desta técnica; a imaginação é o limite,” observou a empresa. A Group-IB referiu um relatório recente do Grupo de Inteligência de Ameaças do Google, que destaca o uso de uma técnica semelhante chamada “EtherHiding” empregada por hackers norte-coreanos. O que é EtherHiding? EtherHiding é uma campanha divulgada no ano passado na qual hackers da DPRK usaram a blockchain do Ethereum para ocultar e distribuir software malicioso. As vítimas são geralmente atraídas através de sites comprometidos—frequentemente páginas WordPress—que carregam um pequeno trecho de JavaScript. Esse código então busca a carga útil oculta na blockchain, permitindo aos atacantes distribuir malware de uma forma altamente resistente a remoções. Tanto EtherHiding quanto DeadLock reutilizam livros-razão públicos e descentralizados como canais secretos que são difíceis de bloquear ou desmontar pelos defensores. DeadLock aproveita proxies rotativos, que são servidores que mudam regularmente o IP de um utilizador, dificultando o rastreamento ou bloqueio. Embora a Group‑IB tenha admitido que “os vetores de acesso inicial e outras fases importantes dos ataques permanecem desconhecidos neste momento,” afirmou que as infecções DeadLock renomeiam ficheiros encriptados com uma extensão “.dlock” e substituem os fundos de ecrã por notas de resgate.

Versões mais recentes também alertam as vítimas de que dados sensíveis foram roubados e podem ser vendidos ou vazados se o resgate não for pago. Pelo menos três variantes do malware foram identificadas até agora. Versões anteriores dependiam de servidores supostamente comprometidos, mas os investigadores agora acreditam que o grupo opera a sua própria infraestrutura. A inovação principal, no entanto, reside na forma como o DeadLock recupera e gere os endereços dos servidores.  “Os investigadores da Group-IB descobriram código JS dentro do ficheiro HTML que interage com um contrato inteligente na rede Polygon,” explicou. “Esta lista RPC contém os pontos finais disponíveis para interagir com a rede ou blockchain Polygon, atuando como gateways que conectam aplicações aos nós existentes da blockchain.” A sua versão mais recente também incorpora canais de comunicação entre a vítima e o atacante. O DeadLock deixa um ficheiro HTML que funciona como uma camada em torno do aplicativo de mensagens encriptadas Session. “O objetivo principal do ficheiro HTML é facilitar a comunicação direta entre o operador do DeadLock e a vítima,” afirmou a Group‑IB.