Une nouvelle souche de ransomware<\/strong> utilise des contrats intelligents<\/strong> sur le r\u00e9seau Polygon<\/strong> pour la rotation et la distribution des adresses de serveurs proxy afin d’infiltrer des dispositifs. C’est ce qu’a r\u00e9v\u00e9l\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Group-IB<\/strong> jeudi. Le malware, surnomm\u00e9 DeadLock<\/em>, a \u00e9t\u00e9 identifi\u00e9 pour la premi\u00e8re fois en juillet 2025 et a jusqu’\u00e0 pr\u00e9sent attir\u00e9 peu d’attention, car il ne dispose pas d’un programme d’affiliation public ni d’un site de fuite de donn\u00e9es, et a infect\u00e9 un nombre limit\u00e9 de victimes, selon l’entreprise.<\/p>\n \u00ab\u00a0Bien qu’il soit discret et peu impactant, il applique des m\u00e9thodes innovantes qui d\u00e9montrent un savoir-faire en \u00e9volution, ce qui pourrait devenir dangereux si les organisations ne prennent pas cette menace \u00e9mergente au s\u00e9rieux,\u00a0\u00bb a d\u00e9clar\u00e9 Group-IB dans un article de blog.<\/p>\n<\/blockquote>\n L’utilisation par DeadLock de contrats intelligents pour livrer des adresses proxy est une m\u00e9thode int\u00e9ressante<\/strong> o\u00f9 les attaquants peuvent litt\u00e9ralement appliquer des variantes infinies de cette technique ; l’imagination est la limite<\/em>, a not\u00e9 la soci\u00e9t\u00e9.<\/p>\n Group-IB a \u00e9galement soulign\u00e9 un rapport r\u00e9cent du Google Threat Intelligence Group<\/strong>, mettant en \u00e9vidence l’utilisation d’une technique similaire appel\u00e9e EtherHiding<\/em>, employ\u00e9e par des hackers nord-cor\u00e9ens. EtherHiding est une campagne r\u00e9v\u00e9l\u00e9e l’ann\u00e9e derni\u00e8re, dans laquelle des hackers de la RPDC ont utilis\u00e9 la blockchain Ethereum pour dissimuler et livrer des logiciels malveillants.<\/p>\n Les victimes sont g\u00e9n\u00e9ralement attir\u00e9es par des sites web compromis\u2014souvent des pages WordPress\u2014qui chargent un petit extrait de JavaScript. Ce code extrait ensuite la charge utile cach\u00e9e de la blockchain, permettant aux attaquants de distribuer des malwares d’une mani\u00e8re tr\u00e8s r\u00e9sistante aux d\u00e9mant\u00e8lements.<\/p>\n Tant EtherHiding que DeadLock r\u00e9utilisent des registres publics et d\u00e9centralis\u00e9s<\/strong> comme canaux secrets, difficiles \u00e0 bloquer ou \u00e0 d\u00e9manteler pour les d\u00e9fenseurs. DeadLock profite de proxies tournants<\/strong>, qui sont des serveurs changeant r\u00e9guli\u00e8rement l’adresse IP d’un utilisateur, rendant plus difficile le suivi ou le blocage.<\/p>\n Bien que Group-IB ait admis que \u00ab\u00a0les vecteurs d’acc\u00e8s initiaux et d’autres \u00e9tapes importantes des attaques restent inconnus \u00e0 ce stade,\u00a0\u00bb<\/em> il a d\u00e9clar\u00e9 que les infections par DeadLock renomment les fichiers crypt\u00e9s avec une extension .dlock<\/strong> et remplacent les fonds d’\u00e9cran du bureau par des notes de ran\u00e7on. Les versions plus r\u00e9centes avertissent \u00e9galement les victimes que des donn\u00e9es sensibles ont \u00e9t\u00e9 vol\u00e9es et pourraient \u00eatre vendues ou divulgu\u00e9es si une ran\u00e7on n’est pas pay\u00e9e.<\/p>\n Au moins trois variantes du malware ont \u00e9t\u00e9 identifi\u00e9es jusqu’\u00e0 pr\u00e9sent. Les versions ant\u00e9rieures s’appuyaient sur des serveurs pr\u00e9tendument compromis, mais les chercheurs pensent maintenant que le groupe op\u00e8re sa propre infrastructure. L’innovation cl\u00e9 r\u00e9side cependant dans la mani\u00e8re dont DeadLock r\u00e9cup\u00e8re et g\u00e8re les adresses des serveurs.<\/p>\n \u00ab\u00a0Les chercheurs de Group-IB ont d\u00e9couvert du code JavaScript dans le fichier HTML qui interagit avec un contrat intelligent sur le r\u00e9seau Polygon,\u00a0\u00bb a-t-il expliqu\u00e9.<\/p>\n<\/blockquote>\n Cette liste RPC contient les points de terminaison disponibles pour interagir avec le r\u00e9seau ou la blockchain Polygon, agissant comme des passerelles qui connectent les applications aux n\u0153uds existants de la blockchain. Sa version r\u00e9cemment observ\u00e9e int\u00e8gre \u00e9galement des canaux de communication entre la victime et l’attaquant.<\/p>\n DeadLock d\u00e9pose un fichier HTML qui agit comme un wrapper autour de l’application de messagerie crypt\u00e9e Session<\/strong>. <\/p>\n \u00ab\u00a0Le principal objectif du fichier HTML est de faciliter la communication directe entre l’op\u00e9rateur de DeadLock et la victime,\u00a0\u00bb a d\u00e9clar\u00e9 Group-IB.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":" Introduction Une nouvelle souche de ransomware utilise des contrats intelligents sur le r\u00e9seau Polygon pour la rotation et la distribution des adresses de serveurs proxy afin d’infiltrer des dispositifs. C’est ce qu’a r\u00e9v\u00e9l\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Group-IB jeudi. Le malware, surnomm\u00e9 DeadLock, a \u00e9t\u00e9 identifi\u00e9 pour la premi\u00e8re fois en juillet 2025 et a jusqu’\u00e0 pr\u00e9sent attir\u00e9 peu d’attention, car il ne dispose pas d’un programme d’affiliation public ni d’un site de fuite de donn\u00e9es, et a infect\u00e9 un nombre limit\u00e9 de victimes, selon l’entreprise. Caract\u00e9ristiques de DeadLock \u00ab\u00a0Bien qu’il soit discret et peu impactant, il applique des m\u00e9thodes<\/p>\n","protected":false},"author":3,"featured_media":12807,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[75,13,418,65,294],"class_list":["post-12808","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-dprk","tag-ethereum","tag-google","tag-hack","tag-polygon"],"yoast_description":"D\u00e9couvrez comment le ransomware DeadLock utilise des contrats intelligents sur le r\u00e9seau Polygon pour \u00e9viter la d\u00e9tection, mettant en avant des techniques d'attaque cybern\u00e9tique innovantes mais alarmantes.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/12808","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=12808"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/12808\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/12807"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=12808"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=12808"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=12808"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Caract\u00e9ristiques de DeadLock<\/h2>\n
\n
Comparaison avec EtherHiding<\/h2>\n
Techniques d’attaque<\/h2>\n
Variantes et infrastructure<\/h2>\n
\n
\n