勒索软件DeadLock利用Polygon智能合约规避检测

来源：Yellow 原始标题：DeadLock勒索软件利用Polygon智能合约规避检测

原始链接： 一种新发现的勒索软件变种最近使用区块链技术作为武器，构建了一个具有弹性的指挥控制基础设施，安全团队难以拆除。

网络安全研究人员在周四发现，最早在2025年7月被识别的DeadLock勒索软件，将代理服务器地址存储在Polygon的智能合约中。

该技术允许操作者不断轮换受害者与攻击者之间的连接点，使传统封锁方法失效。

尽管技术复杂，DeadLock保持了异常低调的形象：没有联盟程序，也没有公开的数据泄露网站。

DeadLock的不同之处

与那些公开羞辱受害者的典型勒索软件团伙不同，DeadLock威胁要在地下市场出售被盗数据。

该恶意软件在HTML文件中嵌入JavaScript代码，与Polygon网络中的智能合约通信。

这些合约作为去中心化的代理地址仓库，恶意软件通过对区块链的只读调用获取这些地址，而无需产生交易手续费。

研究人员识别出至少三种DeadLock变体，最新版本采用Session加密消息，与受害者进行直接通信。

基于区块链的攻击为何重要

这种方法反映了威胁情报团体在观察到国家行为者使用类似手段后所记录的技术。

利用智能合约传递代理地址是一种有趣的方法，攻击者可以在此基础上无限变体。

存储在区块链上的基础设施难以清除，因为去中心化的记录无法像传统服务器那样被查封或断开连接。

DeadLock感染会将文件重命名为“.dlock”扩展名，并部署PowerShell脚本以禁用Windows服务和删除影子副本。

据报道，之前的攻击利用了杀毒软件中的漏洞，并采用“带有易受攻击驱动程序的自带”技术终止端点的检测进程。

研究人员承认，关于DeadLock的初始访问方法和整个攻击链仍存在空白，但确认该团伙最近已通过新代理基础设施重新启动了操作。

这种技术被国家行为者和具有财务动机的网络犯罪分子采用，显示出攻击者利用区块链弹性进行恶意活动的令人担忧的演变。