حذرت شركة الأمن السيبراني “Group-IB” يوم الخميس من سلالة جديدة من برامج الفدية الخبيثة تستخدم عقود “بوليجون” الذكية لتوزيع عناوين الخوادم الوهمية والتناوب بينها، بهدف اختراق الأجهزة.
برنامج الفدية “ديدلوك”
تم اكتشاف البرنامج الخبيث، المُسمى “ديدلوك”، لأول مرة في يوليو 2025. وحتى الآن، لم يحظَ باهتمام كبير بسبب عدم وجود برنامج تابع عام له أو موقع لتسريب البيانات، كما أن عدد ضحاياه لا يزال محدودًا.
وقالت الشركة في مدونتها: “على الرغم من أن تأثيره محدود وملفّه منخفض حتى الآن، إلا أنه يستخدم أساليب مبتكرة تُظهر تطورًا في المهارات التي قد تصبح خطيرة إذا لم تأخذ المؤسسات هذا التهديد الناشئ على محمل الجد”.
كيف يعمل “ديدلوك” باستخدام العقود الذكية؟
أشارت “Group-IB” إلى أن استخدام “ديدلوك” للعقود الذكية لتسليم عناوين الخوادم الوهمية هو “أسلوب مثير للاهتمام حيث يمكن للمهاجمين حرفيًا تطبيق عدد لا حصر له من الاختلافات لهذه التقنية؛ الخيال هو الحد الوحيد”.
ولفتت الشركة إلى تقرير حديث لمجموعة “جوجل” لاستخبارات التهديدات يسلط الضوء على استخدام تقنية مماثلة تسمى “إيثرهايدنغ” يستخدمها قراصنة كوريا الشمالية.
ما هي تقنية “إيثرهايدنغ”؟
هي حملة تم الكشف عنها العام الماضي، حيث استخدم قراصنة كوريا الشمالية شبكة “إيثيريوم” لإخفاء وتوزيع البرامج الضارة. يتم عادةً جذب الضحايا عبر مواقع ويب مخترقة (غالبًا صفحات ووردبريس) تقوم بتحميل جزء صغير من كود جافا سكريبت. ثم يسحب هذا الكود الحمولة الخبيثة المخفية من سلسلة الكتل، مما يسمح للمهاجمين بتوزيع البرامج الضارة بطريقة يصعب إيقافها.
تستخدم كل من تقنيتي “إيثرهايدنغ” و”ديدلوك” شبكات البلوكشين العامة واللامركزية كقنوات سرية يصعب على المدافعين حظرها أو تفكيكها. ويستفيد “ديدلوك” من الخوادم الوهمية الدوارة، التي تغير عنوان IP الخاص بالمستخدم بانتظام، مما يجعل تتبعها أو حظرها أمرًا أصعب.
كيف يتصرف البرنامج داخل الجهاز؟
بينما اعترفت “Group-IB” بأن “طرق الدخول الأولية ومراحل هجوم أخرى مهمة لا تزال غير معروفة في هذه المرحلة”، قالت إن برنامج “ديدلوك” يقوم بما يلي:
- إعادة تسمية الملفات المشفرة بامتداد “.dlock”.
- استبدال خلفيات سطح المكتب بملاحظات الفدية.
كما تحذر النسخ الأحدث الضحايا من أن البيانات الحساسة قد سُرقت ويمكن بيعها أو تسريبها إذا لم يتم دفع الفدية. وتم تحديد ثلاثة أنواع على الأقل من هذا البرنامج الضار حتى الآن.
تطور البنية التحتية للهجوم
اعتمدت النسخ الأولى على خوادم مُخترقة مزعومة، لكن الباحثين يعتقدون الآن أن المجموعة تشغل بنيتها التحتية الخاصة. ومع ذلك، يكمن الابتكار الرئيسي في كيفية استرداد “ديدلوك” لعناوين الخوادم وإدارتها.
وأوضحت الشركة: “كشف باحثو Group-IB عن كود JS داخل ملف HTML يتفاعل مع عقد ذكي عبر شبكة بوليجون. تحتوي هذه القائمة على نقاط اتصال متاحة للتفاعل مع شبكة أو بلوكشين بوليجون، وتعمل كبوابات تربط التطبيقات بالعُقد الحالية للبلوكشين”.
كما تضمنت أحدث نسخة تم رصدها قنوات اتصال بين الضحية والمهاجم. حيث يضع “ديدلوك” ملف HTML يعمل كغلاف لتطبيق المراسلة المشفرة “Session” لتسهيل الاتصال المباشر بين مشغل البرنامج والضحية.
الأسئلة الشائعة
س: ما هو برنامج الفدية “ديدلوك” الجديد؟
ج: هو برنامج ضار جديد لفدية البيانات يستخدم عقود بوليجون الذكية لإخفاء عنوان الخادم الذي يتحكم به المهاجمون، مما يجعل اكتشافه وإيقافه أكثر صعوبة.
س: كيف يستخدم “ديدلوك” شبكة البلوكشين؟
ج: يستخدم العقود الذكية على شبكة بوليجون كقائمة ديناميكية وآمنة لتخزين عناوين الخوادم الوهمية والتناوب بينها، وهي تقنية مشابهة لـ “إيثرهايدنغ” التي تستخدم شبكة إيثيريوم.
س: ما الذي يجب أن أفعله لحماية نفسي من مثل هذه الهجمات؟
ج: كن حذرًا من الروابط والمرفقات غير المعروفة، حافظ على تحديث برامجك ونظام التشغيل، واستخدم برامج مكافحة فيروسات قوية، وقم بعمل نسخ احتياطية منتظمة لبياناتك المهمة على جهاز غير متصل بالإنترنت.
