死锁：利用Polygon规避监控的勒索软件

Group-IB的研究人员已识别出一种新的网络犯罪威胁，展示了现代恶意软件日益增长的复杂性。被称为Deadlock的勒索软件家族在2025年第二季度被发现，具有令人担忧的规避能力。值得注意的是，Deadlock不仅攻击传统系统，还采用了一种新颖的策略：利用Polygon的去中心化基础设施分发其恶意组件，并几乎无法被拦截地轮换代理服务器的地址。

Deadlock如何利用区块链隐藏自己

Deadlock的技术机制尤为巧妙。该恶意软件在HTML文件中注入JavaScript代码，直接与Polygon网络交互。一旦执行，它就利用RPC节点列表作为网关，获取由攻击者控制的服务器的最新地址。这一策略利用了区块链的去中心化和伪匿名特性，建立了难以通过传统安全技术阻断的隐蔽通信渠道。

Deadlock的规避技术演变

这种隐藏策略并非全新。研究人员此前已在EtherHiding恶意软件中记录了类似的方法，该软件也利用去中心化架构来规避检测。然而，Deadlock在应用上实现了质的飞跃。分析显示，目前至少存在三种Deadlock变体在流通，最新版本通过集成加密消息应用Session，提升了其复杂性。

Deadlock的最新发展

图1：Deadlock利用区块链和加密通信的架构示意图

Deadlock的影响

在Deadlock的最新变体中集成Session，大大增强了恶意软件的操作能力。攻击者现在可以与受害者进行加密通信，便于进行赎金谈判和指令传达，而无需担心被检测到。Polygon作为分发基础设施与Session作为通信渠道的结合，形成了一种多用途的攻击架构，挑战了传统的事件响应机制。

结论

这一新型的Deadlock变体显示出网络犯罪分子在利用区块链技术进行隐蔽和抗检测方面的不断创新。安全团队必须加强对去中心化基础设施的监控，并采用多层次的检测手段，以应对这种复杂的威胁。未来，随着技术的不断演进，类似的隐蔽通信和分发机制可能会变得更加普遍，威胁的复杂性也将持续增加。