行業新聞與部落格

已發現名為 DeadLock 的勒索軟體利用 Polygon 區塊鏈智慧合約來管理和輪換代理伺服器地址。

DeadLock 於 2025 年 7 月首次出現，此後一直保持相對低調。它與已知的勒索軟體聯盟計劃無關，也沒有運營公開的資料洩露網站。

儘管報告的受害者人數有限，但 Group-IB 的研究人員表示，其技術方法因其新穎性和可能被其他威脅行為者重複使用而值得關注。

新的死鎖基礎設施

這家網路安全公司觀察到的最新 DeadLock 樣本包含一個 HTML 檔案，該檔案用於透過 Session 加密訊息平臺與受害者進行通訊。

該惡意軟體不依賴硬編碼的伺服器，而是檢索儲存在 Polygon 智慧合約中的代理地址。 

Group-IB 指出，從區塊鏈檢索資料依賴於只讀呼叫，這些呼叫不會生成交易或產生網路費用，這種設計選擇使傳統的阻塞方法變得複雜。

呼叫中包含的 JavaScript 程式碼會查詢特定的 Polygon 智慧合約以獲取當前代理 URL 。然後，該代理會在受害者和攻擊者的會話 ID 之間轉發加密訊息。

該方法的關鍵方面包括：

• 在 Polygon 區塊鏈上以去中心化方式儲存代理地址

• 使用多個 RPC 端點的回退機制

• 利用智慧合約功能按需更新基礎設施

該研究還將多個智慧合約關聯到同一個建立者錢包，該錢包在部署前不久獲得資金。交易記錄顯示，隨著時間的推移，新的代理伺服器的設定採用了相同的方法，這表明該基礎設施得到了積極的管理。

對辯護者的更廣泛影響

Group-IB 表示，DeadLock 還使用 AnyDesk 作為遠端管理工具，並部署 PowerShell 指令碼來停止服務和刪除卷影副本，從而增強了加密的效果。

受害者的檔案被重新命名，並添加了 .dlock 擴充名，隨後勒索信威脅說，如果不支付贖金，就會出售被盜資料。

研究人員解釋說，最近在其他攻擊活動中也報道了類似的基於區塊鏈的技術，包括使用智慧合約來儲存惡意載荷或命令位置的案例。

雖然 DeadLock 的交易量仍然很低，但它對 Polygon 智慧合約的使用表明，去中心化平臺可以如何被重新用於彈性命令與控制 (C2) 。

研究結果表明，濫用公共區塊鏈進行惡意軟體操作的情況可能會增加，這給防禦者帶來了挑戰，他們需要在不干擾去中心化技術合法使用的情況下調整檢測策略。