行业新闻与博客

已发现名为 DeadLock 的勒索软件利用 Polygon 区块链智能合约来管理和轮换代理服务器地址。

DeadLock 于 2025 年 7 月首次出现，此后一直保持相对低调。它与已知的勒索软件联盟计划无关，也没有运营公开的数据泄露网站。

尽管报告的受害者人数有限，但 Group-IB 的研究人员表示，其技术方法因其新颖性和可能被其他威胁行为者重复使用而值得关注。

新的死锁基础设施

这家网络安全公司观察到的最新 DeadLock 样本包含一个 HTML 文件，该文件用于通过 Session 加密消息平台与受害者进行通信。

该恶意软件不依赖硬编码的服务器，而是检索存储在 Polygon 智能合约中的代理地址。 

Group-IB 指出，从区块链检索数据依赖于只读调用，这些调用不会生成交易或产生网络费用，这种设计选择使传统的阻塞方法变得复杂。

调用中包含的 JavaScript 代码会查询特定的 Polygon 智能合约以获取当前代理 URL 。然后，该代理会在受害者和攻击者的会话 ID 之间转发加密消息。

该方法的关键方面包括：

• 在 Polygon 区块链上以去中心化方式存储代理地址

• 使用多个 RPC 端点的回退机制

• 利用智能合约功能按需更新基础设施

该研究还将多个智能合约关联到同一个创建者钱包，该钱包在部署前不久获得资金。交易记录显示，随着时间的推移，新的代理服务器的设置采用了相同的方法，这表明该基础设施得到了积极的管理。

对辩护者的更广泛影响

Group-IB 表示，DeadLock 还使用 AnyDesk 作为远程管理工具，并部署 PowerShell 脚本来停止服务和删除卷影副本，从而增强了加密的效果。

受害者的文件被重命名，并添加了 .dlock 扩展名，随后勒索信威胁说，如果不支付赎金，就会出售被盗数据。

研究人员解释说，最近在其他攻击活动中也报道了类似的基于区块链的技术，包括使用智能合约来存储恶意载荷或命令位置的案例。

虽然 DeadLock 的交易量仍然很低，但它对 Polygon 智能合约的使用表明，去中心化平台可以如何被重新用于弹性命令与控制 (C2) 。

研究结果表明，滥用公共区块链进行恶意软件操作的情况可能会增加，这给防御者带来了挑战，他们需要在不干扰去中心化技术合法使用的情况下调整检测策略。