Avalon

Editors' Pick

A Blackpoint Cyber egy Avalon-nak nevezett moduláris malware-keretrendszert azonosított, amelynek végső payloadja a CrownX zsarolóvírus. A fertőzési lánc egy jogi dokumentumnak álcázott adathalász e-maillel indul, amely egy Proton Drive-on tárolt, jelszóval védett ZIP-fájlra mutat. A tömörített fájl egy ISO lemezkép található, amely egy PDF-nek álcázott LNK fájlt tartalmaz. A parancsikon a legitim MSBuild.exe segítségével futtat beágyazott C# kódot, amely kikapcsolja az Windows naplózást, majd HTTPS-en keresztül letölti és memóriából betölti az Avalon komponenseit. 

Az Avalon nem önálló ransomware, hanem egy teljes támadási keretrendszer. Képes hitelesítő adatok gyűjtésére, LSASS memóriájának kiolvasására, oldalirányú mozgásra, távoli parancsvégrehajtásra, a WinRE és az árnyékmásolatok letiltására, valamint további modulok dinamikus letöltésére. Csak a környezet felderítése és a védelem gyengítése után telepíti a CrownX zsarolóvírust. A Blackpoint szerint az Avalon moduláris felépítése lehetővé teszi, hogy ugyanazt a keretrendszert később más payloadokkal is használják, ezért a CrownX valószínűleg csak az első ismert végső komponens.

FORRÁS