网络安全公司Group-IB的研究人员表示,近期被发现的一种名为“DeadLock”的勒索软件,正在秘密利用Polygon智能合约轮换和分发代理地址。
该公司在周四报告称,DeadLock勒索软件于七月首次被发现,目前“曝光度较低”,因为其未与已知数据泄露网站或联盟计划相关联,且“报告的受害者数量有限”。
不过,Group-IB警告称,尽管该勒索软件“低调”,但其采用了“创新手法”,对未对该恶意软件加以重视的组织来说具有潜在威胁,“尤其是由于该区块链被用于恶意行为的情况尚未被广泛报道”。
DeadLock利用Polygon智能合约,存储和轮换用于与受害者通信的代理服务器地址。嵌入在勒索软件中的代码与特定智能合约地址互动,并通过函数动态更新命令与控制基础设施。
在受害者感染该恶意软件并被加密后,DeadLock通过勒索信威胁,若未满足要求,则出售窃取的数据。
该技术可实现无限变种
Group-IB表示,通过在链上存储代理地址,DeadLock建立了极难被破坏的基础设施,因为不存在可被关闭的中心化服务器,而且区块链数据将长期在全球分布式节点中存在。
“这种利用智能合约分发代理地址的方法非常有趣,攻击者几乎可以对该技术实现无限变种,想象力就是极限。”
朝鲜黑客组织发现“EtherHiding”
利用智能合约传播恶意软件并非新鲜事。Group-IB指出,谷歌曾在十月披露一种名为“EtherHiding”的策略。
一个被称为“UNC5342”的朝鲜威胁组织采用了这种技术,“即利用公有区块链上的交易来存储和检索恶意载荷”。
据谷歌当时解释,EtherHiding往往将恶意代码以JavaScript载荷的形式嵌入在公有区块链的智能合约中。
“该方法实质上将区块链变成了去中心化且极具韧性的命令与控制(C2)服务器。”
Cointelegraph 致力于独立、透明的新闻报道。本文依据 Cointelegraph 的编辑政策制作,旨在提供准确且及时的信息。建议读者自行核实相关信息。阅读我们的编辑政策 https://cn.cointelegraph.com/editorial-policy
