🌟 Atualização imperdível para quem gosta de estar bem informado!

Sua opinião é importante: leia e participe!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram uma estrutura modular de malware anteriormente não documentada, de codinome Avalon, que é distribuída por meio de uma cadeia de phishing de vários estágios, capaz de contornar os controles de segurança tradicionais.

Avalon combina coleta de credenciais, movimentação lateral, acesso remoto, interrupção de recuperação e execução de ransomware, reunindo diversas funções sob o mesmo guarda-chuva. O componente ransomware foi denominado internamente CrownX. 

“O ataque começou com um e-mail de documento legal falsificado direcionando os destinatários para um arquivo protegido por senha no Proton Drive”, disseram os pesquisadores da Blackpoint Cyber, Nevan Beal e Sam Decker. “O conteúdo malicioso foi incorporado em uma imagem ISO em vez de anexado diretamente, reduzindo a probabilidade de detecção na camada de e-mail.”

Caso o destinatário do e-mail interaja com um atalho do Windows com tema de documento ("Documento Seguro CA-283505.pdf.lnk") dentro da imagem montada, ele aciona uma sequência de malware encenada que culmina na implantação do Avalon. Especificamente, o atalho executa um comando para iniciar um projeto MSBuild localizado na imagem ISO.

O projeto MSBuild, por sua vez, carrega um assembly .NET incorporado, que então interfere no funcionamento regular do Event Tracing for Windows (ETW) para reduzir a visibilidade forense e baixar uma carga útil de próximo estágio sobre HTTPS responsável pelo lançamento do Avalon.

A estrutura de malware possui um extenso subsistema de evasão de defesa que visa evitar a detecção, ao mesmo tempo que incorpora métodos específicos para ocultar a execução de ferramentas de segurança associadas ao Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee e Bitdefender.

“Essas capacidades dão à estrutura uma infinidade de maneiras de reduzir a telemetria, ignorar o monitoramento do modo de usuário e ajustar sua execução dependendo dos controles defensivos presentes no host”, disseram os pesquisadores.

O conjunto completo de recursos integrados ao Avalon é o seguinte -

Colete credenciais, cookies, histórico e marcadores de navegadores baseados em Chromium e Mozilla Firefox.

Reúna dados de aplicativos de carteira de criptomoedas como MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live e Bitcoin Core, junto com Discord, Slack, Teams, OpenVPN, WireGuard e Windows Credential Manager.

Colete detalhes sobre hosts SSH conhecidos, conexões RDP salvas, perfis Wi-Fi e artefatos de senha de preferências de política de grupo.

Exfiltre os dados para um servidor remoto ("helloxcherry[.]com") e pesquise o servidor para receber comandos de tarefas.

Realize reconhecimento e priorize sistemas que possam ampliar o escopo do compromisso.

Criptografe arquivos associados a operações comerciais, desenvolvimento de software, engenharia, armazenamento de dados e infraestrutura virtual usando a API de criptografia do Windows e entregue uma nota de resgate contendo instruções de pagamento e cronômetros de prazo que mostram quanto tempo resta antes que o valor do resgate seja aumentado.

Iniba a recuperação do sistema encerrando o Serviço de Cópias de Sombra de Volume e excluindo cópias de sombra.

Remova vestígios de artefatos usando um subsistema de limpeza antiforense para complicar os esforços de resposta a incidentes.

Interaja diretamente com estruturas de disco, provavelmente em um esforço para danificar informações de partição, registros de inicialização ou outras áreas críticas da unidade, inutilizando efetivamente o sistema.

“CrownX representou o estágio final de extorsão, mas os danos se estenderam muito além da criptografia em si”, disse a empresa. “No momento em que a nota de resgate apareceu, a estrutura mais ampla já havia coletado credenciais, estabelecido comunicações C2, preparado vários caminhos para movimentos laterais e enfraquecido as opções de recuperação local”.

Outro detalhe importante é que Avalon mostra sinais de desenvolvimento assistido por inteligência artificial (IA), que reuniu múltiplos componentes com pouca consideração por técnicas comerciais sofisticadas ou segurança operacional, algo que requer conhecimentos significativos para ser construído.

As descobertas são mais um sinal de como a IA pode reduzir a barreira à entrada, tornando o desenvolvimento de malware mais acessível com pouco tempo e esforço, e até permitindo que intervenientes com poucos conhecimentos técnicos e recursos criem ferramentas que podem exigir um grande esforço de desenvolvimento. Por outras palavras, a presença de uma determinada capacidade já não é um indicador fiável da sofisticação ou maturidade operacional de um agente de ameaça.

“A cadeia de destruição ilustra como uma isca de negócios familiar pode progredir para uma estrutura reutilizável e com múltiplas capacidades projetada para coletar credenciais, recuperar cargas subsequentes inteiramente na memória e organizar múltiplas ações subsequentes a partir de um único endpoint comprometido”, disse Blackpoint Cyber.

LLM por trás de um ataque de Agentic Ransomware

A divulgação ocorre no momento em que a Sysdig detalha o que disse ser o primeiro agente documentado publicamente
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #novo #avalon #malware #framework #traz #recursos #do #crownx #ransomware
🔔 Siga-nos para não perder nenhuma atualização!

Post a Comment