Group-IB 研究人員已發現一種新型勒索軟體變種,名為「DeadLock」,它利用 Polygon 的智能合約作為去中心化媒介,用於存儲與輪換其指揮與控制(C2)操作的代理地址。透過在受害者機器中嵌入會查詢特定智能合約的代碼,攻擊者可以在鏈上動態更新代理端點,從而避開可能被阻斷或沒收的集中式伺服器的弱點。
DeadLock 活動於 2025 年 7 月首次被識別,迄今保持低調,尚無已知的資料洩露網站或宣傳此活動的加盟計畫。然而,Group-IB 指出,使用不可變的區塊鏈交易來分發代理的做法,是一種「創新方法」,對傳統的下架策略構成重大挑戰。該智能合約不要求受害者提交交易或支付 Gas 費用,因為這個惡意軟體僅執行讀取操作。
一旦取得新的代理地址,勒索軟體會與受害者的環境建立加密通道,以傳送勒索訊息與威脅性資料外洩。鏈上代理輪換提升韌性,因為智能合約在分佈式節點上仍可存取,即使個別地址被列入黑名單或從鏈下基礎設施中移除,也能保持可存取。
Group-IB 警告,DeadLock 的做法可能被其他威脅行為者輕易採用以隱藏基礎設施,並引述先前的「EtherHiding」事件。基於區塊鏈的規避策略凸顯了智能合約的雙重用途性,並強調網路安全防禦需與新興的鏈上攻擊向量同時演進。建議各組織監控公開的智能合約活動,並在安全作業中實施鏈上威脅情報。
評論 (0)