DeadLock勒索软件组织利用Polygon智能合同进行隐蔽trac

DeadLock 是一个勒索软件组织，最早出现于 2025 年 7 月， 如今再次成为新闻焦点。据网络安全公司 Group-IB 发布的研究显示，这次是因为该组织滥用 Polygon 区块链智能合约trac管理和轮换代理服务器地址。 

该 勒索软件行动 使用基于区块链的智能合约trac存储该组织的代理服务器 URL，从而实现频繁轮换，使得防御者难以永久阻止基础设施。

DeadLock 在加密受害者的系统后，会释放一个 HTML 文件，该文件充当去中心化消息平台 Session 的包装器。.

DeadLock勒索软件在Polygon上是如何运作的？

文件中的嵌入式 JavaScript 代码查询特定的 Polygon 智能合同trac获取当前代理 URL，然后该代理 URL 在受害者和攻击者的会话 ID 之间转发加密消息。

这些只读区块链调用不会产生任何交易或费用，因此攻击者维护它们无需任何成本。.

Group-IB 的研究人员 指出，利用智能合约trac传递代理地址是一种有趣的方法，攻击者可以应用这种技术的无限变体，想象力是唯一的限制。

安全研究人员表示，虽然这项技术没有得到充分的记录和报道，但其应用正在逐渐 trac。.

Cisco Talos的调查显示，DeadLock 利用百度杀毒软件漏洞 CVE-2024-51324，通过一种称为“自带易受攻击的驱动程序”的技术，获得初始访问权限，从而终止端点检测和响应进程。

DeadLock 提出了新的勒索 策略

DeadLock 与大多数勒索软件攻击不同，因为它放弃了通常的双重勒索方法，也没有可以公开攻击的数据泄露网站。.

相反，该组织威胁要在地下市场出售被盗数据，同时向受害者提供安全报告，并承诺如果支付赎金就不会再次攻击他们。.

Group-IB 的基础设施 trac并未发现 DeadLock 与任何已知的勒索软件关联项目之间存在任何联系。事实上，该组织一直保持着相对低调的姿态。然而，他们发现了智能合同trac，这些副本最初创建并更新于 2025 年 ，后又于 2025 年 11 月进行了更新。

Group-IB 表示，它已成功“通过区块链交易trac其基础设施，揭示了资金模式和活跃服务器”。

民族国家行为体采用类似的 技术

Google 威胁情报小组 观察到，自 2025 年 2 月以来，朝鲜威胁行为者 UNC5342 使用一种名为 EtherHiding 的相关技术来传播恶意软件并协助窃取加密货币 。

根据谷歌的说法，“EtherHiding 涉及将恶意代码（通常以 JavaScript 有效载荷的形式）嵌入trac到公共区块链（例如 BNB 智能链或 Ethereum。”

Polygon 构建的二层区块链 Ethereum一层基础设施

虽然 DeadLock 的攻击数量和影响仍然很小，但安全研究人员警告说，它采用了创新的方法，展现出一种技能，如果组织不认真对待它构成的威胁，这种技能可能会变得危险。.

除了呼吁企业主动检测恶意软件外，Group-IB 还建议他们增加更多安全层，例如多因素身份验证和dent凭据的解决方案。.

这家网络安全公司还表示，企业应该进行数据备份，培训员工，修补漏洞，而且非常重要的是，“永远不要支付赎金”，但如果遭受攻击，则应尽快联系dent 响应专家。.