**Rede Polygon Explorada pelo Ransomware DeadLock para Evitar Sistemas de Detecção**

Pesquisadores de segurança do Group-IB descobriram uma estratégia sofisticada de evasão empregada pela família de ransomware DeadLock, que utiliza contratos inteligentes da Polygon para ciclar dinamicamente endereços de servidores proxy e contornar mecanismos de deteção convencionais. Identificado pela primeira vez em julho de 2025, este malware representa uma evolução notável na forma como os cibercriminosos abusam da infraestrutura blockchain para fins de segurança operacional.

**Arquitetura Técnica e Métodos de Injeção de Código**

A cadeia de ataque do DeadLock centra-se na injeção de rotinas JavaScript em ficheiros HTML que comunicam diretamente com a rede Polygon. Em vez de armazenar instruções maliciosas em servidores tradicionais, o malware consulta gateways RPC baseados em blockchain para obter uma lista de pontos finais proxy controlados pelo atacante. Esta abordagem espelha a campanha EtherHiding previamente documentada, ilustrando uma tendência emergente onde os atores de ameaça utilizam livros-razão descentralizados para construir canais de comunicação covert que estratégias tradicionais de bloqueio têm dificuldade em neutralizar.

**Cenário de Ameaças em Crescimento**

O ransomware atualmente existe em pelo menos três variantes distintas, sendo que a mais recente incorpora o Session — um protocolo de comunicação encriptada — diretamente no seu código. Esta integração permite aos atacantes estabelecer túneis encriptados de ponta a ponta com sistemas comprometidos, complicando significativamente os processos de resposta a incidentes e notificação às vítimas.

O uso da infraestrutura da Polygon destaca uma vulnerabilidade crítica: redes blockchain, projetadas para transparência e descentralização, estão a ser cada vez mais reutilizadas como quadros de comando e controlo resilientes que evitam os controles de segurança tradicionais.