网络安全公司 Group-IB 近日发布报告称，一种名为“DeadLock”的勒索软件正在利用 Polygon 区块链上的智能合约，轮换和分发与受害者通信所需的代理服务器地址，以规避封禁和追踪。

七月首次被发现、曝光度较低

Group-IB 表示，DeadLock 勒索软件最早于今年 7 月被发现。目前公开曝光有限，原因包括尚未发现其与任何已知的数据泄露网站或勒索联盟计划存在关联，且“报告的受害者数量有限”。

尽管如此，Group-IB 在报告中指出，DeadLock 采用了“创新方法”，对忽视该威胁的组织可能构成风险，“尤其是因为针对该特定区块链的恶意用途尚未被广泛报道”。

根据介绍，受害者一旦感染该恶意软件并完成数据加密，DeadLock 会通过勒索信进行威胁，称如不满足其要求，将出售窃取的数据。

利用 Polygon 智能合约轮换代理地址

Group-IB 的分析显示，DeadLock 使用 Polygon 智能合约存储和轮换代理服务器地址，这些地址用于与受害者进行后续通信。嵌入在勒索软件中的代码会与特定的智能合约地址交互，并通过其中的函数动态更新其指挥与控制（C2）基础设施。

报告指出，通过将代理地址写入链上，DeadLock 构建了难以被破坏的基础设施：一方面不存在可被直接关闭的中心化服务器，另一方面区块链数据分布在全球节点上并被永久保存。

Group-IB 将这一做法描述为“利用智能合约传递代理地址的一种有趣方法”，并指出攻击者在技术上可以对这一思路进行“几乎无限的变体”，其限制主要在于攻击者自身的想象力。

与此前“EtherHiding”战术相呼应

Group-IB 同时提到，利用智能合约传播或隐藏恶意软件并非首次出现。该公司援引谷歌在去年 10 月披露的案例称，一种名为“EtherHiding”的战术同样利用公共区块链进行恶意活动。

据介绍，一名被称为“UNC5342”的朝鲜威胁行为体曾采用 EtherHiding 技术，“通过利用公共区块链上的交易来存储和检索恶意载荷”。

谷歌当时的说明显示，EtherHiding 涉及将恶意代码（通常为 JavaScript 载荷）嵌入公共区块链上的智能合约中。“这种方法本质上将区块链变成了一个去中心化且高度弹性的指挥控制（C2）服务器。”

Group-IB 指出，DeadLock 对 Polygon 智能合约的利用，延续了这一类将公共区块链基础设施用作恶意活动支撑平台的技术路径。