DeadLock 勒索軟件，使用 Polygon 智能合約動態部署代理伺服器地址

安全威脅正變得越來越精巧。根據Group-IB最新的監控結果，勒索軟體家族DeadLock已開發出創新的規避技術。此惡意程式利用Polygon網路的智能合約，不斷更換代理伺服器地址，以繞過安全偵測系統。

精巧的追蹤規避技術的出現

DeadLock於2025年中首次被發現，採用與傳統惡意程式不同的策略。攻擊者在HTML檔案內注入與Polygon網路互動的JavaScript程式碼。該程式碼將RPC（遠端程序呼叫）清單用作閘道，並自動獲取與更新控制攻擊基礎設施的伺服器地址。這種技術利用區塊鏈的不可篡改性與分散特性，使得傳統的集中式偵測系統難以封鎖。

透過代理伺服器的攻擊機制分析

此技術的核心在於代理伺服器地址的動態管理。DeadLock會讀取存於區塊鏈智能合約中的資訊，並定期更換至新的代理伺服器。這與先前發現的EtherHiding惡意程式類似，但DeadLock建立了更自動化且擴展性更高的基礎設施。由於代理伺服器頻繁更換，安全團隊的封鎖清單會即時失效，攻擊者與受害者之間的通訊通道則得以持續維持。

不斷演進的勒索軟體威脅

目前已確認至少有三種變體，尤其是最新版本更具威脅性。攻擊者將加密通訊應用Session直接整合到勒索軟體中，使得與受害者的直接協商成為可能。這顯示勒索軟體運營者不僅在規避技術上精進，也在攻擊後的獲利方式上升級。DeadLock的代理伺服器管理技術未來很可能被其他惡意程式家族模仿，將成為網路安全團隊的新挑戰。