DeadLock 랜섬웨어가 Polygon 스마트 계약을 이용해 추적을 피하다

据 Group-IB 监测，勒索软件家族 DeadLock 正利用 Polygon 智能合约分发和轮换代理服务器地址，以逃避安全检测。

해당 악성 소프트웨어는 2025년 7월 처음 발견되었으며, HTML 파일에 Polygon 네트워크와 상호작용하는 JS 코드를 삽입하여 RPC 목록을 게이트웨이로 사용해 공격자가 제어하는 서버 주소를 얻습니다. 이러한 기술은 이전에 발견된 EtherHiding과 유사하며, 분산 원장을 이용해 차단하기 어려운 은밀한 통신 경로를 구축하는 것을 목표로 합니다. DeadLock은 현재 최소 세 가지 변종이 존재하며, 최신 버전은 암호화 통신 애플리케이션인 Session을 삽입하여 피해자와 직접 대화할 수 있도록 하고 있습니다.