На рабочую почту приходит письмо с «юридическим документом», а внутри — архив, спрятанный не в самом письме, а на облачном хранилище. Один неосторожный клик по файлу-ярлыку в смонтированном образе — и на компьютере запускается цепочка, которая сначала крадёт данные, а потом доводит систему до вымогательства.

Так исследователи Blackpoint описали Avalon — ранее не задокументированный модульный вредоносный фреймворк. Его финальная стадия вымогательства получила имя CrownX, но до шифрования он уже успевает собрать пароли, перехватить сессию и попытаться лишить жертву шансов на восстановление.

Что произошло

Blackpoint Cyber обнаружила Avalon как многоступенчатую вредоносную схему, которую распространяют через фишинговую цепочку. По версии исследователей, атака начинается с поддельного письма с правдоподобным деловым вложением и уходит дальше через облако, образ диска и файл-ярлык Windows.

Авторы отчёта отдельно отмечают, что связка выглядит как модульный каркас: у неё есть блоки для кражи данных, перемещения по сети, удалённого доступа, подавления восстановления и запуска вымогателя. Такая архитектура опаснее обычного шифровальщика, потому что злоумышленники не ограничиваются одной функцией.

Это уже не первый случай, когда атакующие комбинируют легитимные инструменты и кражу логинов. Ранее мы разбирали похожую логику в материале о группах-вымогателях и краже учётных данных.

Как устроена атака

Цепочка начинается с письма, которое маскируется под юридический документ. Внутри — ссылка на архив с паролем, размещённый на Proton Drive, а вредоносный файл прячется внутри ISO-образа, а не прикрепляется напрямую к письму.

Если пользователь открывает ярлык с названием вроде «Secure Document CA-283505.pdf.lnk», запускается следующий этап. Ярлык стартует MSBuild-проект, лежащий в том же образе, а тот подгружает .NET-сборку и вмешивается в работу Event Tracing for Windows, чтобы снизить видимость для анализа.

Дальше вредонос скачивает полезную нагрузку по HTTPS и включает механизмы уклонения от обнаружения. Исследователи говорят, что Avalon умеет подстраивать поведение под защитные средства и старается скрывать исполнение от Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee и Bitdefender.

Отдельный блок занимается разведкой и сбором данных. В список целей входят логины, cookies, история и закладки из браузеров на Chromium и Firefox, а также данные из кошельков, мессенджеров, SSH, RDP, Wi‑Fi-профилей и Windows Credential Manager.

Кого это затрагивает и чем опасно

Avalon опасен не только шифрованием файлов. К моменту, когда на экране появляется требование выкупа, злоумышленники уже могут иметь учётные данные, доступ к внутренним сервисам и понимание того, какие машины стоит атаковать следующими.

По данным Blackpoint, фреймворк умеет отправлять собранные сведения на удалённый сервер и запрашивать новые команды. Затем он может шифровать файлы, связанные с бизнес-процессами, разработкой, хранением данных и виртуальной инфраструктурой, а также отключать службу теневых копий и удалять резервные снимки.

Самый неприятный сценарий — повреждение критичных структур диска. Исследователи пишут, что Avalon взаимодействует с дисковыми структурами так, чтобы сломать разделы, загрузочные записи или другие важные области носителя. В таком случае восстановление превращается в долгую и дорогую работу без гарантий успеха.

Схожую опасность хорошо видно и в других свежих инцидентах: злоумышленники всё чаще делают ставку не на один вирус, а на целую цепочку из кражи доступа, скрытного закрепления и шифрования. Об этом мы писали и в разборе про ИИ-вымогатель внутри браузерной среды.

Отдельный вывод отчёта касается роли искусственного интеллекта. По оценке Blackpoint, Avalon выглядит как продукт разработки с помощью ИИ: компоненты собраны быстро, местами грубо, но с набором функций, который раньше требовал заметно больше времени и опыта.

Что делать прямо сейчас

Если у вас на рабочем компьютере есть почта, доступ к внутренним файлам или корпоративным учётным записям, сейчас важны базовые меры. Они не требуют специальных знаний, но сильно снижают риск, что одна ошибка в письме выльется в простой бизнеса.

Для тех, кто иногда работает из гостиницы, кафе или другого публичного Wi‑Fi, уместно держать под рукой инструмент для шифрования трафика на личных устройствах — как дополнительный слой защиты, а не как замену антивирусу и здравому смыслу.

Чек-лист

  • Проверьте, включены ли обновления Windows и защитного ПО.
  • Не открывайте ISO, LNK и архивы из писем, если не ждали такие файлы.
  • Ограничьте запуск MSBuild и похожих инструментов там, где они не нужны для работы.
  • Убедитесь, что резервные копии хранятся отдельно от рабочих машин и их нельзя стереть с одного заражённого компьютера.
  • Смените пароли к почте, корпоративным сервисам и браузерным профилям, если заметили подозрительную активность.
  • Проверьте, включена ли многофакторная аутентификация для ключевых учётных записей.
  • Настройте фильтрацию вложений и обучение сотрудников на фишинговых письмах с «документами» и «срочными» архивами.
  • При первых признаках шифрования немедленно отключите компьютер от сети и сообщите в ИБ-команду.
Поделиться: