勒索軟體DeadLock利用Polygon智能合約來躲避偵測

來源：Yellow 原始標題：DeadLock勒索軟體利用Polygon智能合約躲避偵測

原始連結： 一種新近發現的勒索軟體利用區塊鏈技術作為武器，建立一個具有彈性的指揮控制基礎架構，使安全團隊難以拆解。

網路安全研究人員在星期四發現，這款於2025年7月首次被識別的DeadLock勒索軟體，將代理伺服器地址存儲在Polygon的智能合約中。

這項技術允許操作者不斷輪換受害者與攻擊者之間的連接點，使傳統封鎖方法失效。

儘管技術相當先進，DeadLock一直保持較低的曝光度：它沒有聯盟計畫，也沒有公開的資料外洩網站。

DeadLock有何不同之處

與一般公開羞辱受害者的勒索軟體團伙不同，DeadLock威脅要在地下市場販售被盜資料。

該惡意程式在HTML檔案中嵌入JavaScript代碼，與Polygon網路上的智能合約通信。

這些合約作為去中心化的代理地址存儲庫，惡意軟體通過對區塊鏈的只讀調用來獲取，且不產生交易手續費。

研究人員已辨識出至少三個DeadLock的變體，最新版本還加入了Session加密訊息，用於與受害者的直接通信。

為何基於區塊鏈的攻擊重要

這種方法反映出威脅情報團體在觀察到國家行為者採用類似手法後所記錄的技術。

利用智能合約傳遞代理地址的做法是一個有趣的範例，攻擊者可以在此技術上應用無限變體。

存放在區塊鏈上的基礎架構難以清除，因為去中心化的記錄無法像傳統伺服器那樣被查封或斷開連線。

DeadLock感染會將檔案重新命名為“.dlock”擴展名，並部署PowerShell腳本來禁用Windows服務和刪除陰影副本。

據報導，早期攻擊利用了殺毒軟體的漏洞，並採用“bring-your-own-vulnerable-driver”技術來終止端點的偵測程序。

研究人員承認，對DeadLock的初始存取方法及整個攻擊鏈仍有許多未知，但確認該團隊最近已經重新啟動運作，並建立了新的代理基礎架構。

這種技術被國家行為者與具有經濟動機的網路犯罪分子共同採用，顯示出攻擊者在利用區塊鏈的彈性進行惡意行為方面正呈現令人擔憂的演進。