DeadLock 勒索软件，使用 Polygon 智能合约动态部署代理服务器地址

安全威胁正变得越来越复杂。据Group-IB最新监控数据显示，勒索软件家族DeadLock开发出了创新的规避技术。这款恶意软件利用Polygon网络的智能合约，不断更换代理服务器地址，从而绕过安全检测体系。

复杂的追踪规避技术的出现

DeadLock于2025年中首次被发现，采用了不同于传统恶意软件的方式。攻击者在HTML文件内部注入与Polygon网络交互的JavaScript代码。该代码将RPC（远程过程调用）列表用作网关，自动获取并更新控制攻击基础设施的服务器地址。这种技术利用了区块链的不可变性和分散性，使得传统的集中式检测系统难以阻止。

通过代理服务器的攻击机制分析

此技术的核心在于动态管理代理服务器地址。DeadLock会读取存储在区块链智能合约中的信息，定期切换到新的代理服务器。虽然与之前发现的EtherHiding恶意软件类似，但DeadLock建立了更自动化、更可扩展的基础设施。频繁更换代理服务器导致安全团队的封锁名单实时失效，攻击者与受害者之间的通信渠道得以持续。

不断演变的勒索软件威胁

目前已确认至少存在三种变体，最新版本尤为具有威胁性。攻击者将加密通信应用Session直接嵌入勒索软件中，使受害者能够直接进行谈判。这显示出勒索软件运营者在规避技术和盈利方式方面都在不断提升。DeadLock的代理服务器管理技术很可能被其他恶意软件家族模仿，成为网络安全团队面临的新挑战。