Deadlock использует HTML-чат и блокчейн Polygon

Инцидент с программой-вымогателем Deadlock показал, как киберпреступники продолжают усложнять свои инструменты управления и коммуникации. Исследование описывает необычную схему: жертве доставляется HTML-файл с ransom-заметкой, внутри которого скрыт пользовательский HTML-chat client. После открытия файл запускает легковесный messaging client, написанный на obfuscated JavaScript, который позволяет злоумышленникам выстроить скрытый канал связи.

Как работает схема коммуникации

По данным отчета, клиент функционирует через smart contract в блокчейне Polygon. Такой подход обеспечивает подключение к сети service nodes и позволяет организовать безопасный обмен данными между жертвой и злоумышленником. Иными словами, преступники создают скрытую систему messaging, которая не опирается на традиционную инфраструктуру с фиксированными доменами.

JavaScript-клиент получает URL прокси из smart contract Polygon и использует его для аутентификации с уникальными учетными данными. При этом генерируются пары ключей с применением криптографии Ed25519/Curve25519. Сообщения чата, закодированные в формате Protobuf, шифруются с помощью NaCl secret boxes, что указывает на высокий уровень сложности применяемой схемы защиты канала.

Polygon как элемент C2-инфраструктуры

Особое внимание в исследовании уделяется роли Polygon. Smart contract выступает как динамический инструмент конфигурации и предоставляет стабильную конечную точку для обновления инфраструктуры C2 без reliance on static domains. Это делает схему более устойчивой к блокировке и усложняет работу специалистов по противодействию инцидентам.

Авторы отмечают, что Polygon используется как экономически эффективная альтернатива Ethereum для размещения и управления инфраструктурой, необходимой для операций с ransomware. Более низкие затраты на gas позволяют злоумышленникам без лишних расходов выполнять contract operations, сохраняя при этом гибкость и скрытность.

Почему это затрудняет расследование

Смарт-contract в данной схеме хранит только минимально необходимый набор данных, отвечающий за маршрутизацию коммуникаций. Такой дизайн снижает видимость злоумышленной активности и дополнительно осложняет попытки пресечения преступной деятельности.

Фактически вся коммуникационная структура встроена в JavaScript, а значит, для расследования особенно важны:

• анализ сетевого поведения;
• изучение деталей scripts;
• поиск JSON-RPC вызовов к EVM-compatible сетям;
• выявление HTML-артефактов, которые могут оказаться вредоносными.

Выводы для специалистов по безопасности

Авторы исследования подчеркивают: аналитикам следует относиться к HTML-артефактам с тем же вниманием, что и к традиционным executable malware. В условиях, когда вредоносная логика полностью переносится в JavaScript и дополнительно опирается на blockchain-инфраструктуру, именно такие артефакты могут стать ключом к обнаружению атаки.

Повышенная бдительность к взаимодействиям с блокчейном становится критически важной. Наличие JSON-RPC вызовов к сетям, совместимым с EVM, может указывать на потенциальную malicious activity и требовать немедленной проверки.

Вывод отчета ясен: современные ransomware-операции все чаще используют не только шифрование данных, но и сложные скрытые каналы связи, встроенные в привычные для пользователя форматы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.