الطريق المسدود: برنامج الفدية الذي يستغل Polygon للتهرب من المراقبة

اكتشف باحثو Group-IB تهديدًا جديدًا من قِبل الجريمة السيبرانية يُظهر تزايد تطور البرامج الضارة الحديثة. تم اكتشاف عائلة برامج الفدية المعروفة باسم Deadlock في الربع الثاني من 2025 وتتميز بقدرات مقلقة على التهرب. المثير للاهتمام هو أن Deadlock لا يهاجم أنظمة تقليدية فحسب، بل ينفذ استراتيجية جديدة تمامًا: يستغل البنية التحتية اللامركزية لـ Polygon لنشر مكوناته الخبيثة وتدوير عناوين خوادم البروكسي بطريقة تكاد تكون مستحيلة الاعتراض.

كيف يستخدم Deadlock blockchain للاختباء

الآلية التقنية لـ Deadlock ذكية بشكل خاص. يقوم البرنامج الضار بحقن رمز JavaScript في ملفات HTML التي تتفاعل مباشرة مع شبكة Polygon. بمجرد تشغيلها، تستخدم قوائم عقد RPC كبوابات للوصول إلى عناوين خوادم محدثة يسيطر عليها المهاجمون. تستغل هذه التكتيكات طبيعة blockchain الموزعة والغير مركزية لبناء قنوات اتصال مخفية يصعب جدًا حظرها باستخدام تقنيات الأمان التقليدية.

تطور تقنيات التهرب المتقدمة

هذه الاستراتيجية للاختفاء ليست جديدة تمامًا. كان الباحثون قد وثقوا طرقًا مماثلة في البرامج الضارة EtherHiding، التي كانت تستخدم أيضًا هياكل لامركزية للتهرب من الكشف. ومع ذلك، فإن Deadlock يمثل تقدمًا نوعيًا في تطبيقه. تكشف التحليلات أن هناك حاليًا ثلاثة على الأقل من متغيرات Deadlock تتداول في الطبيعة، وأن الإصدار الأحدث قد زاد من تطوره من خلال دمج تطبيق المراسلة المشفرة Session مباشرة.

التداعيات على الأمن

يُوسع دمج Session في أحدث إصدار من Deadlock بشكل كبير قدرات البرنامج الضار التشغيلية. يمكن للمهاجمين الآن التواصل بشكل مشفر مباشرة مع الضحايا، مما يسهل مفاوضات الفدية وتوزيع التعليمات دون الكشف عنها. يخلق الجمع بين Polygon كبنية تحتية للتوزيع وSession كقناة اتصال بنية هجوم متعددة الأغراض تتحدى الآليات التقليدية للاستجابة للحوادث.