新型勒索软件DeadLock的警告
近日,网络安全公司Group-IB发出警告,称一种新发现的勒索软件变种正在利用Polygon智能合约进行代理服务器地址的轮换和分发,以渗透设备。这种名为DeadLock的恶意软件首次被识别于2025年7月,至今吸引的关注不多,因为它缺乏公开的附属程序和数据泄露网站,并且仅感染了有限数量的受害者。
Group-IB在一篇博客中表示:“尽管它的影响较小且低调,但它采用了创新的方法,展示了不断发展的技能。如果组织不认真对待这一新兴威胁,可能会变得危险。”
DeadLock的技术创新
Group-IB指出,DeadLock利用智能合约来传递代理地址,这是一种有趣的方法,攻击者可以在此技术上应用无限的变体,想象力是唯一的限制。该公司提到,谷歌威胁情报组最近的一份报告强调了朝鲜黑客使用类似技术的案例,称为EtherHiding。
EtherHiding是去年披露的一项活动,其中朝鲜黑客利用以太坊区块链来隐藏和传递恶意软件。受害者通常通过被攻陷的网站(通常是WordPress页面)被诱导,这些页面加载一小段JavaScript代码。该代码随后从区块链中提取隐藏的有效载荷,使攻击者能够以一种高度抗干扰的方式分发恶意软件。
隐蔽通道的利用
EtherHiding和DeadLock都将公共的去中心化账本重新利用为难以阻止或拆解的隐蔽通道。DeadLock利用轮换代理,这些服务器定期更改用户的IP地址,使其更难以追踪或阻止。
虽然Group-IB承认“初始访问向量和攻击的其他重要阶段目前仍不清楚”,但它表示DeadLock感染会将加密文件重命名为“.dlock”扩展名,并用赎金通知替换桌面背景。更新版本还警告受害者,如果不支付赎金,敏感数据可能会被盗取并出售或泄露。目前已识别出至少三种变体。
基础设施与通信通道
早期版本依赖于 allegedly 被攻陷的服务器,但研究人员现在认为该组织运营着自己的基础设施。然而,DeadLock的关键创新在于其检索和管理服务器地址的方式。Group-IB的研究人员在HTML文件中发现了与Polygon网络上的智能合约交互的JS代码。该RPC列表包含与Polygon网络或区块链交互的可用端点,充当将应用程序连接到区块链现有节点的网关。
最近观察到的版本还嵌入了受害者与攻击者之间的通信通道。DeadLock会生成一个HTML文件,作为加密消息应用程序Session的包装器。Group-IB表示:“该HTML文件的主要目的是促进DeadLock操作者与受害者之间的直接通信。”
