新たなランサムウェア「DeadLock」の発見
新たに発見されたランサムウェアの一種が、プロキシサーバーのアドレス回転と配布にPolygonスマートコントラクトを使用してデバイスに侵入していると、サイバーセキュリティ企業Group-IBが木曜日に警告しました。このマルウェアは「DeadLock」と名付けられ、2025年7月に初めて特定されましたが、公開アフィリエイトプログラムやデータ漏洩サイトが存在しないため、これまであまり注目されていません。感染者も限られた数にとどまっています。
Group-IBはブログで「低プロファイルで影響も少ないが、進化するスキルセットを示す革新的な手法を適用しており、組織がこの新たな脅威を真剣に受け止めなければ危険になる可能性がある」と述べています。
DeadLockの技術的特徴
DeadLockのスマートコントラクトを使用したプロキシアドレスの配信は、「攻撃者がこの技術の無限のバリエーションを適用できる興味深い方法であり、想像力が限界です」と同社は指摘しました。Group-IBは、北朝鮮のハッカーが使用した「EtherHiding」と呼ばれる類似の技術に関するGoogle脅威インテリジェンスグループの最近の報告を指摘しました。
EtherHidingは、昨年明らかにされたキャンペーンで、DPRKのハッカーがEthereumブロックチェーンを使用して悪意のあるソフトウェアを隠し配信しました。被害者は通常、妥協されたウェブサイト—しばしばWordPressページ—を通じて誘導され、小さなJavaScriptのスニペットが読み込まれます。そのコードはブロックチェーンから隠されたペイロードを引き出し、攻撃者がマルウェアを配布する方法を非常に耐障害性の高いものにします。
感染のメカニズムと影響
EtherHidingとDeadLockの両方は、守備側がブロックまたは解体するのが難しい秘密のチャネルとして公共の分散型台帳を再利用しています。DeadLockは、ユーザーのIPを定期的に変更するプロキシを利用しており、追跡やブロックが難しくなっています。
Group-IBは「初期アクセスベクターや攻撃の他の重要な段階は現時点では不明である」と認めつつ、DeadLockの感染は暗号化されたファイルの名前を「.dlock」拡張子に変更し、デスクトップの背景を身代金メモに置き換えると述べています。新しいバージョンは、身代金が支払われない場合、機密データが盗まれ、販売または漏洩される可能性があると被害者に警告します。
今後の展望と対策
これまでに少なくとも3つのバリエーションのマルウェアが特定されています。以前のバージョンは妥協されたサーバーに依存していましたが、研究者たちは現在、このグループが独自のインフラを運営していると考えています。しかし、重要な革新は、DeadLockがサーバーアドレスを取得し管理する方法にあります。
「Group-IBの研究者は、Polygonネットワーク上のスマートコントラクトと相互作用するHTMLファイル内にJSコードを発見しました」と説明しています。「このRPCリストには、Polygonネットワークまたはブロックチェーンと相互作用するための利用可能なエンドポイントが含まれており、アプリケーションをブロックチェーンの既存ノードに接続するゲートウェイとして機能します。」最近観察されたバージョンは、被害者と攻撃者の間の通信チャネルも埋め込んでいます。
DeadLockは、暗号化されたメッセージングアプリ「Session」の周りにラッパーとして機能するHTMLファイルをドロップします。「HTMLファイルの主な目的は、DeadLockオペレーターと被害者の間の直接通信を促進することです」とGroup-IBは述べています。
