行業新聞與博客

已發現名為 DeadLock 的勒索軟件利用 Polygon 區塊鏈智能合約來管理和輪換代理服務器地址。

DeadLock 於 2025 年 7 月首次出現，此後一直保持相對低調。它與已知的勒索軟件聯盟計劃無關，也沒有運營公開的數據泄露網站。

儘管報告的受害者人數有限，但 Group-IB 的研究人員表示，其技術方法因其新穎性和可能被其他威脅行為者重複使用而值得關注。

新的死鎖基礎設施

這家網絡安全公司觀察到的最新 DeadLock 樣本包含一個 HTML 文件，該文件用於通過 Session 加密消息平台與受害者進行通信。

該惡意軟件不依賴硬編碼的服務器，而是檢索存儲在 Polygon 智能合約中的代理地址。 

Group-IB 指出，從區塊鏈檢索數據依賴於只讀調用，這些調用不會生成交易或產生網絡費用，這種設計選擇使傳統的阻塞方法變得複雜。

調用中包含的 JavaScript 代碼會查詢特定的 Polygon 智能合約以獲取當前代理 URL 。然後，該代理會在受害者和攻擊者的會話 ID 之間轉發加密消息。

該方法的關鍵方面包括：

• 在 Polygon 區塊鏈上以去中心化方式存儲代理地址

• 使用多個 RPC 端點的回退機制

• 利用智能合約功能按需更新基礎設施

該研究還將多個智能合約關聯到同一個創建者錢包，該錢包在部署前不久獲得資金。交易記錄顯示，隨着時間的推移，新的代理服務器的設置採用了相同的方法，這表明該基礎設施得到了積極的管理。

對辯護者的更廣泛影響

Group-IB 表示，DeadLock 還使用 AnyDesk 作為遠程管理工具，並部署 PowerShell 腳本來停止服務和刪除卷影副本，從而增強了加密的效果。

受害者的文件被重命名，並添加了 .dlock 擴展名，隨後勒索信威脅説，如果不支付贖金，就會出售被盜數據。

研究人員解釋説，最近在其他攻擊活動中也報道了類似的基於區塊鏈的技術，包括使用智能合約來存儲惡意載荷或命令位置的案例。

雖然 DeadLock 的交易量仍然很低，但它對 Polygon 智能合約的使用表明，去中心化平台可以如何被重新用於彈性命令與控制 (C2) 。

研究結果表明，濫用公共區塊鏈進行惡意軟件操作的情況可能會增加，這給防禦者帶來了挑戰，他們需要在不干擾去中心化技術合法使用的情況下調整檢測策略。