Ερευνητές κυβερνοασφάλειας εντόπισαν ένα νέο, άγνωστο μέχρι σήμερα, αρθρωτό πλαίσιο κακόβουλου λογισμικού με την ονομασία Avalon, το οποίο διανέμεται μέσω πολυσταδιακής επίθεσης ηλεκτρονικού «ψαρέματος» (phishing) και είναι σχεδιασμένο να παρακάμπτει τα παραδοσιακά συστήματα προστασίας. Το τελικό στάδιο της επίθεσης περιλαμβάνει την ανάπτυξη του ransomware CrownX, το οποίο κρυπτογραφεί αρχεία και απαιτεί λύτρα.
Η επίθεση ξεκινά με ένα παραπλανητικό email που εμφανίζεται ως νομικό έγγραφο και περιέχει σύνδεσμο προς ένα αρχείο σε υπηρεσία αποθήκευσης cloud. Το συμπιεσμένο αρχείο προστατεύεται με κωδικό πρόσβασης και περιλαμβάνει μια εικόνα ISO, μέσα στην οποία βρίσκεται ένα αρχείο συντόμευσης των Windows μεταμφιεσμένο ως έγγραφο PDF.
Avalon: Πολυσταδιακή μόλυνση και αποφυγή εντοπισμού
Μόλις ο χρήστης ανοίξει το αρχείο, ενεργοποιείται μια αλληλουχία ενεργειών που εκτελεί έργο MSBuild και φορτώνει μια ενσωματωμένη εφαρμογή .NET. Στη συνέχεια, το κακόβουλο λογισμικό απενεργοποιεί μηχανισμούς καταγραφής συμβάντων των Windows, περιορίζοντας τα ίχνη της επίθεσης, ενώ κατεβάζει μέσω HTTPS το τελικό φορτίο του Avalon.
Το πλαίσιο διαθέτει εξελιγμένες τεχνικές αποφυγής εντοπισμού και μπορεί να προσαρμόζει τη λειτουργία του ανάλογα με το λογισμικό ασφαλείας που είναι εγκατεστημένο στον υπολογιστή, όπως τα Microsoft Defender, CrowdStrike, SentinelOne, Sophos, ESET και άλλα.
Κλοπή δεδομένων και ανάπτυξη του CrownX
Το Avalon συλλέγει κωδικούς πρόσβασης, cookies, ιστορικό περιήγησης και δεδομένα από προγράμματα περιήγησης, καθώς και πληροφορίες από πορτοφόλια κρυπτονομισμάτων, εφαρμογές επικοινωνίας, αποθηκευμένες συνδέσεις RDP, προφίλ Wi-Fi και διαπιστευτήρια των Windows.
Παράλληλα, αποστέλλει τα δεδομένα σε απομακρυσμένο διακομιστή και λαμβάνει νέες εντολές από τους χειριστές της επίθεσης. Αφού ολοκληρωθεί η συλλογή πληροφοριών, το CrownX κρυπτογραφεί κρίσιμα επιχειρησιακά αρχεία, διαγράφει τα αντίγραφα ασφαλείας των Windows και εμφανίζει σημείωμα λύτρων με προθεσμία πληρωμής.
Η τεχνητή νοημοσύνη αλλάζει το τοπίο των κυβερνοεπιθέσεων
Οι ερευνητές εκτιμούν ότι το Avalon παρουσιάζει ενδείξεις ανάπτυξης με τη βοήθεια εργαλείων τεχνητής νοημοσύνης. Σύμφωνα με τους ειδικούς, η χρήση μεγάλων γλωσσικών μοντέλων μειώνει σημαντικά τον χρόνο και τις τεχνικές γνώσεις που απαιτούνται για τη δημιουργία προηγμένου κακόβουλου λογισμικού, επιτρέποντας ακόμη και σε λιγότερο έμπειρους επιτιθέμενους να αναπτύσσουν πολύπλοκες κυβερνοεπιθέσεις.