Group-IB的研究人員揭示了一種新型勒索軟件變種,名為「DeadLock」,它利用Polygon智能合約作為去中心化的媒介,存儲並輪換其指揮與控制(C2)操作的代理地址。通過在受害機器中嵌入能查詢特定智能合約的代碼,攻擊者可以在鏈上動態更新代理端點,以避免集中式伺服器可能被封鎖或扣押的漏洞。
「DeadLock」行動於2025年7月首次被識別,至今一直保持低調,尚未出現已知的數據洩露網站或推廣該行動的聯盟計畫。不過,Group-IB指出,使用不可變的區塊鏈交易來分發代理,代表一種「創新方法」,對傳統清除策略構成重大挑戰。由於惡意軟件僅執行讀取操作,該智能合約不要求受害者提交交易或支付 gas 費用。
一旦取得新的代理地址,勒索軟件便與受害者環境建立加密通道,以傳輸勒索要求與威脅的資料外洩。鏈上代理輪換提高了韌性,因為即使個別地址被列入黑名單或從鏈外基礎設施中移除,智能合約仍可在分散節點間保持可存取。
Group-IB警告稱,DeadLock的做法可以被其他威脅行動者輕易改編以隱藏基礎設施,並引用先前的「EtherHiding」事件。基於區塊鏈的逃避策略凸顯了智能合約的雙重用途,並強調網絡安全防禦需與新興鏈上攻擊向量共同演進。建議各組織留意公開的智能合約活動,並在其安全運作中實施鏈上威脅情報。
評論 (0)