一种新发现的勒索软件变种正在使用Polygon智能合约进行代理服务器地址轮换和分发，以渗透设备，网络安全公司Group-IB在周四警告道。

这种恶意软件被称为DeadLock，首次在2025年7月被识别，至今吸引的关注不多，因为它缺乏公开的附属程序和数据泄露网站，并且仅感染了有限数量的受害者，公司的报告指出。

“尽管它的低调和低影响，但它应用了创新的方法，展示了不断发展的技能，如果组织不认真对待这一新兴威胁，可能会变得危险，”Group-IB在一篇博客中表示。

DeadLock使用智能合约来传递代理地址是一种“有趣的方法，攻击者可以字面上应用无限种变体；想象力是唯一的限制，”该公司指出。Group-IB提到谷歌威胁情报组最近的一份报告，强调了朝鲜黑客使用一种类似技术“EtherHiding”。

什么是EtherHiding？

EtherHiding是去年披露的一项活动，其中朝鲜黑客利用以太坊区块链来隐藏和传递恶意软件。受害者通常通过被攻陷的网站——通常是加载小段JavaScript的WordPress页面——被引诱。然后，该代码从区块链中提取隐藏的有效载荷，使攻击者能够以一种高度抗击封锁的方式分发恶意软件。

EtherHiding和DeadLock都将公共的、去中心化的账本重新利用为难以被防御者阻止或拆解的隐蔽通道。DeadLock利用轮换代理，这些代理是定期更改用户IP的服务器，使得追踪或阻止变得更加困难。

虽然Group-IB承认“初始访问向量和攻击的其他重要阶段目前仍不明”，但它表示DeadLock感染会将加密文件重命名为“.dlock”扩展名，并用赎金通知替换桌面背景。

更新版本还警告受害者，敏感数据已被盗取，如果不支付赎金，可能会被出售或泄露。到目前为止，至少已识别出三种变体的恶意软件。

早期版本依赖于 allegedly 被攻陷的服务器，但研究人员现在认为该组织运营自己的基础设施。然而，关键的创新在于DeadLock如何检索和管理服务器地址。

“Group-IB的研究人员在HTML文件中发现了与Polygon网络上的智能合约交互的JS代码，”它解释道。“这个RPC列表包含与Polygon网络或区块链交互的可用端点，充当连接应用程序与区块链现有节点的网关。”

其最近观察到的版本还嵌入了受害者与攻击者之间的通信通道。DeadLock会放置一个HTML文件，作为加密消息应用程序Session的包装器。

“HTML文件的主要目的是促进DeadLock操作者与受害者之间的直接通信，”Group-IB表示。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。