Group-IB 的研究人员发现了一种新型勒索软件变体,名为“DeadLock”,它利用 Polygon 智能合约作为去中心化媒介来存储和轮换其指挥与控制(C2)操作所使用的代理地址。通过在受害者机器中植入查询特定智能合约的代码,攻击者可以在链上动态更新代理端点,避免可能被封锁或扣押的集中式服务器的漏洞。
DeadLock 活动首次在 2025 年 7 月被发现,长期保持低调,尚无任何数据泄露站点或宣传其的联盟计划。尽管如此,Group-IB 指出,使用不可变的区块链交易来分发代理的做法是一种“创新方法”,为传统的取缔策略带来重大挑战。该智能合约不要求受害者提交交易或支付 Gas 费,因为恶意软件仅执行读取操作。
一旦检索到新的代理地址,勒索软件便会与受害环境建立加密通道,以传输赎金要求和对数据外泄的威胁。链上代理轮换提高了韧性,因为即使某些地址被列入黑名单或从链下基础设施中移除,智能合约仍可在分布式节点之间保持可访问。
Group-IB 警告称,DeadLock 的做法可能被其他威胁行为者迅速采用来隐藏基础设施,引用此前的“EtherHiding”事件。基于区块链的规避策略凸显了智能合约的双重用途,并强调网络安全防御需要随新兴的链上攻击向量而演进。建议组织监控公开的智能合约活动,并在其安全运营中部署链上威胁情报。
评论 (0)