据 Group-IB 监测,DeadLock 勒索软件家族正利用 Polygon 智能合约 来分发和轮换代理服务器地址,以规避安全检测。该恶意软件最早于 2025 年 7 月被发现,通过在 HTML 文件中嵌入与 Polygon 网络交互的 JavaScript 代码,利用 RPC 列表作为网关,获取攻击者控制的服务器地址。
这种技术与此前发现的 EtherHiding 方法类似,旨在通过去中心化账本构建难以被屏蔽的隐蔽通信渠道。DeadLock 目前已发现至少三个变体,最新版本甚至整合了加密通信应用 Session,使攻击者能够与受害者直接对话。
- DeadLock 使用去中心化技术规避追踪
- 通过 Polygon 网络获取 C2 地址
- 嵌入 Session 实现加密通信