👑 Модульний фреймворк Avalon поєднує шпигунство та вимагач CrownX
Виявлено новий шкідливий фреймворк Avalon, що поширюється через фішинг із ISO-образами. Запуск ярлика всередині образу активує проєкт MSBuild та збірку .NET, яка блокує трасування подій Windows для приховування активності. Avalon обходить захист Defender, CrowdStrike й SentinelOne та масово викрадає паролі браузерів, дані криптогаманців, SSH-ключі та RDP-сесії.
Фінальним етапом є розгортання шифрувальника CrownX, який блокує бізнес-дані та видаляє тіньові копії для запобігання відновленню. Експерти зазначають, що Avalon створено за допомогою штучного інтелекту, оскільки складна архітектура поєднується зі слабким рівнем безпеки коду. Це підтверджує тренд зниження порогу входу для хакерів через використання штучного інтелекту в розробці малварі.
