DeadLock 랜섬웨어, Polygon 스마트 계약을 이용해 추적 회피

Odaily 소식 Group-IB의 모니터링에 따르면, 랜섬웨어 패밀리 DeadLock이 보안 탐지를 피하기 위해 Polygon 스마트 계약을 이용해 프록시 서버 주소를 배포하고 순환시키고 있습니다. 이 악성코드는 2025년 7월에 처음 발견되었으며, HTML 파일에 Polygon 네트워크와 상호작용하는 JS 코드를 삽입하고, RPC 목록을 게이트웨이로 활용하여 공격자가 제어하는 서버 주소를 획득합니다. 이 기술은 이전에 발견된 EtherHiding과 유사하며, 분산 원장을 활용하여 차단하기 어려운 은밀한 통신 채널을 구축하는 것을 목표로 합니다. DeadLock은 현재 최소 세 가지 변종이 확인되었으며, 최신 버전은 피해자와 직접 대화하기 위해 암호화 통신 애플리케이션 Session을 내장하고 있습니다.