Cuidado: Novo Ransomware 'DeadLock' Weaponiza Contratos Inteligentes Polygon para Permanecer Invisível

Os investigadores de cibersegurança estão a interessar-se por uma nova estirpe de ransomware recentemente descoberta chamada DeadLock que abusa de contratos inteligentes / smart contracts da Polygon para servir silenciosamente a sua infraestrutura e contornar ferramentas de deteção convencionais, como retrata um relatório recente da empresa de inteligência de ameaças Group-IB.

O DeadLock, observado pela primeira vez em julho de 2025, permaneceu até agora amplamente fora do radar porque não tem um programa de afiliados público, não tem um site de fuga de dados e as suas vítimas foram associadas a comparativamente poucas vítimas confirmadas.

Esse perfil, no entanto, cobre uma estratégia tecnologicamente mais sofisticada que os investigadores acreditam estar a mostrar uma mudança mais global na forma como os cibercriminosos estão a usar blockchains públicas para fins criminosos.

Como o DeadLock Esconde a Infraestrutura de Ransomware Dentro de Contratos Inteligentes / Smart Contracts da Polygon

A análise do Group-IB mostra que o DeadLock usa contratos inteligentes / smart contracts implementados na rede Polygon para armazenar e rodar endereços de servidores proxy.

Esses proxies funcionam como intermediários entre sistemas infetados e os operadores de ransomware, permitindo que o tráfego de comando e controlo mude de endpoints sem depender de infraestrutura centralizada que pode ser apreendida ou bloqueada.

Ao consultar o contrato inteligente / smart contract, o malware obtém o endereço proxy atual através de uma simples operação de leitura que não deixa pegadas transacionais óbvias e não incorre em custos de rede.

Os investigadores afirmaram que esta técnica espelha campanhas anteriores, como o EtherHiding, divulgado no ano passado, no qual atores de ameaças norte-coreanos usaram a blockchain Ethereum para ocultar e distribuir cargas úteis de malware.

Em ambos os casos, ledgers públicos e descentralizados foram transformados em canais de comunicação resilientes que são difíceis de interromper pelos defensores. O uso da Polygon pelo DeadLock estende esse conceito ao incorporar a gestão de proxy diretamente num contrato inteligente / smart contract, permitindo aos atacantes atualizar a infraestrutura sob demanda.

Uma vez implementado, o DeadLock encripta ficheiros e adiciona uma extensão ".dlock", altera ícones do sistema e substitui o papel de parede da vítima por instruções de resgate.

Ao longo do tempo, as notas de resgate do grupo evoluíram, com amostras iniciais referenciando apenas encriptação de ficheiros, enquanto versões posteriores afirmaram explicitamente que dados sensíveis tinham sido roubados e ameaçaram a sua venda se o pagamento não fosse feito.

As notas de resgate mais recentes também prometem "serviços adicionais", incluindo uma análise de como a rede foi violada e garantias de que a vítima não será alvo novamente.

Este Ransomware Não Apenas Bloqueia Ficheiros — Abre um Chat com Hackers

O Group-IB identificou pelo menos três amostras distintas de DeadLock de meados de 2025, cada uma mostrando mudanças incrementais nas táticas.

A análise de scripts PowerShell associados sugere que o malware desativa agressivamente serviços não essenciais, elimina cópias de shadow de volumes para prevenir recuperação e coloca numa lista de permissões um conjunto limitado de processos, incluindo notavelmente o AnyDesk

Os investigadores acreditam que o AnyDesk é usado como a ferramenta principal de acesso remoto durante os ataques, uma descoberta consistente com investigações forenses digitais separadas.

Um elemento-chave da operação do DeadLock é um ficheiro HTML deixado em sistemas infetados que incorpora uma interface de mensageiro de sessão encriptada. As vítimas podem comunicar diretamente com os atacantes através deste ficheiro sem instalar software adicional.

O JavaScript incorporado obtém endereços proxy do contrato inteligente / smart contract da Polygon, depois encaminha mensagens encriptadas através desses servidores para um ID de sessão controlado pelos operadores de ransomware.

A análise de transações mostra que a mesma carteira criou múltiplos contratos inteligentes / smart contracts idênticos e atualizou repetidamente endereços proxy ao chamar uma função rotulada "setProxy".

A carteira foi financiada através de um endereço ligado a uma exchange pouco antes dos contratos serem implementados, indicando preparação deliberada.

O rastreamento histórico destas transações permite aos defensores reconstruir a infraestrutura proxy passada, embora o design descentralizado complique esforços rápidos de remoção.

A descoberta faz parte de um aumento geral no cibercrime relacionado com criptomoedas, já que mais de $3,4 mil milhões foram roubados por hacks e exploits até início de dezembro de 2025, com grupos norte-coreanos ligados ao Estado a representar mais de $2 mil milhões desse total.