一種新發現的勒索軟件利用Polygon智能合約進行代理伺服器地址的輪換與分發,以滲透設備,網絡安全公司Group‑IB於星期四發出警告。 該惡意軟件被命名為DeadLock,首次於2025年7月被識別,至今尚未引起廣泛注意,原因是它缺乏公開的聯盟計劃和資料外洩網站,且只感染了有限數量的受害者,該公司表示。
🚨 DeadLock 勒索軟件:當區塊鏈遇上網絡犯罪
Group-IB揭示了一個複雜的新威脅,重寫了勒索軟件的玩法。DeadLock利用Polygon智能合約來輪換代理地址,這是一種低調且少被報導的技術,能繞過傳統… pic.twitter.com/rlPu9gZd5F
— Group-IB Global (@GroupIB) 2026年1月15日
“儘管它的曝光度較低且影響尚小,但它採用了創新方法,展現出一種不斷演進的技能集,如果組織不重視這一新興威脅,可能會變得危險,”Group-IB在一篇部落格中表示。 DeadLock利用智能合約傳送代理地址的方式“是一個有趣的方法,攻擊者可以字面上應用無限變體;想像空間是無限的,”該公司指出。Group-IB提到Google威脅情報組最近的一份報告,強調北韓黑客使用類似技術“EtherHiding”來隱藏和傳送惡意軟件。 什麼是EtherHiding? EtherHiding是一個去年披露的活動,北韓黑客利用以太坊區塊鏈來隱藏和傳送惡意軟件。受害者通常被誘騙訪問被攻陷的網站——常是WordPress頁面——該頁面載入一段JavaScript代碼。該代碼隨後從區塊鏈中提取隱藏的有效載荷,使攻擊者能以高度抗封鎖的方式散布惡意軟件。 EtherHiding和DeadLock都將公共、去中心化的帳本用作秘密通道,難以被防禦者封鎖或拆除。DeadLock利用輪換代理伺服器,這些伺服器會定期更換用戶的IP,使追蹤或封鎖變得更加困難。 雖然Group‑IB承認“目前仍不清楚初始存取向量及其他重要攻擊階段”,但表示DeadLock感染會將加密文件重新命名為“.dlock”擴展名,並用勒索信取代桌面背景。
較新版本還會警告受害者敏感資料已被竊取,若未支付贖金,資料可能被販售或外洩。目前已識別出至少三個變體。 早期版本依賴於疑似被攻陷的伺服器,但研究人員現在相信該團隊已經運營自己的基礎設施。不過,關鍵創新在於DeadLock如何獲取和管理伺服器地址。 “Group-IB的研究人員在HTML文件中發現了與Polygon網絡上的智能合約交互的JS代碼,”該公司解釋說。“這個RPC列表包含與Polygon網絡或區塊鏈交互的可用端點,作為連接應用程序與區塊鏈現有節點的閘道。” 它最近觀察到的版本還嵌入了受害者與攻擊者之間的通訊渠道。DeadLock會放置一個HTML文件,作為加密訊息應用Session的包裝器。 “HTML文件的主要目的是促進DeadLock操作者與受害者之間的直接通訊,”Group‑IB表示。
