🛡️ Executive Summary
- Avalon usa phishing con documenti legali, archivi Proton Drive, immagini ISO e shortcut LNK per avviare l’infezione.
- Il framework combina furto credenziali, accesso remoto, movimento laterale, esfiltrazione e ransomware interno CrownX.
- Le difese devono monitorare MSBuild, bypass AMSI/ETW, accessi ai backup, esfiltrazioni WinHTTP e cancellazione shadow copy.
Un nuovo framework malware modulare, denominato Avalon, mostra come le campagne ransomware stiano convergendo verso piattaforme multifunzione capaci di gestire l’intero ciclo dell’intrusione: accesso iniziale, furto credenziali, evasione, movimento laterale, esfiltrazione e crittografia finale. La scoperta arriva dai ricercatori di Blackpoint Cyber, che hanno ricostruito una catena di phishing basata su documenti legali fasulli e progettata per portare alla distribuzione di un payload in memoria. Il componente più distruttivo del framework è indicato internamente come CrownX, un modulo ransomware che crittografa file aziendali, cancella copie shadow, disabilita servizi di ripristino e lascia note di riscatto con timer di pagamento. La rilevanza operativa di Avalon non dipende soltanto dalla presenza del ransomware, ma dalla sua integrazione con funzioni normalmente distribuite tra più tool. Un singolo endpoint compromesso può diventare il punto di partenza per raccolta dati, compromissione dei backup, persistenza e disruption dell’ambiente. Il framework mostra inoltre segnali compatibili con sviluppo assistito da AI, elemento che abbassa la soglia tecnica per costruire malware articolati.
Cosa leggere
La catena di infezione parte da documenti legali e Proton Drive
La fase iniziale della campagna sfrutta un lure credibile per ambienti aziendali: una comunicazione che simula la condivisione di documenti legali. La vittima viene indirizzata verso un archivio protetto da password ospitato su Proton Drive, scelta che aumenta la credibilità dell’interazione e riduce l’efficacia dei controlli email tradizionali. Inserire il contenuto malevolo in un servizio cloud esterno, invece di allegarlo direttamente al messaggio, permette agli attaccanti di evitare molte scansioni automatiche sui gateway di posta.

L’archivio contiene un’immagine ISO che, una volta montata, mostra uno shortcut di Windows camuffato da documento sicuro, con un nome coerente con il contesto legale. L’esecuzione del file LNK avvia cmd.exe e richiama un progetto MSBuild collocato nella cartella temporanea. Questa scelta non è casuale: MSBuild è uno strumento legittimo presente negli ambienti Windows e può essere abusato per compilare ed eseguire codice C# inline tramite CodeTaskFactory, riducendo la visibilità di payload espliciti su disco. La catena sfrutta quindi fiducia, servizi legittimi e strumenti amministrativi per arrivare all’esecuzione.
MSBuild carica il downloader e prepara Avalon in memoria
Dopo l’attivazione dello shortcut, il progetto MSBuild esegue codice C# inline che ricostruisce un downloader gestito direttamente in memoria. Il payload successivo viene recuperato via HTTPS, validato tramite HMAC-SHA256 e mappato manualmente nel processo, evitando un normale caricamento da file. Questo approccio complica l’analisi forense perché riduce gli artefatti persistenti su disco e sposta gran parte dell’esecuzione in memoria. La catena include anche manomissioni mirate della telemetria, con interventi su AMSI ed ETW per ridurre la capacità dei prodotti di sicurezza di osservare script, caricamenti e comportamenti sospetti. Il downloader adatta inoltre l’esecuzione in base ai prodotti di sicurezza presenti sull’host, dimostrando consapevolezza dell’ambiente e attenzione alla sopravvivenza operativa. In questa fase Avalon non si presenta ancora come ransomware, ma come piattaforma di staging. L’obiettivo è stabilire una base d’accesso sufficientemente silenziosa per raccogliere informazioni, scaricare moduli, eseguire comandi e preparare l’eventuale fase estorsiva. La logica è quella del framework: un’intrusione modulare, non un singolo eseguibile distruttivo.
Avalon raccoglie credenziali, browser, wallet e dati aziendali
Una volta attivo, Avalon esegue una raccolta estesa di informazioni dall’endpoint compromesso. Il framework estrae credenziali, cookie, cronologia e segnalibri da browser basati su Chromium e da Mozilla Firefox, puntando a recuperare sessioni attive e accessi riutilizzabili. Il malware cerca inoltre dati collegati a wallet crypto come MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live e Bitcoin Core, segnale di una sovrapposizione tra criminalità ransomware e furto di asset digitali. Il framework preleva informazioni anche da applicazioni di collaborazione come Discord, Slack e Teams, oltre a credenziali salvate nel Windows Credential Manager, profili Wi-Fi, connessioni RDP, host SSH conosciuti e artefatti Group Policy Preferences. L’uso di DPAPI per decrittografare dati protetti indica una fase di post-exploitation orientata a massimizzare il valore dell’accesso locale. I dati raccolti vengono esfiltrati tramite richieste POST con WinHTTP verso infrastrutture controllate dagli attaccanti, incluso il dominio helloxcherry[.]com indicato nell’analisi. La raccolta iniziale permette di scegliere sistemi prioritari e credenziali utili per il movimento laterale.
Il movimento laterale prende di mira backup e infrastrutture virtuali
Avalon non si limita alla compromissione dell’host iniziale. Il framework include funzioni di ricognizione e movimento laterale pensate per estendere il controllo nell’ambiente aziendale. Gli aggressori cercano in particolare sistemi legati a Veeam e Acronis, perché le piattaforme di backup sono obiettivi prioritari prima dell’attivazione di un ransomware. Compromettere o disabilitare i backup aumenta la pressione sulla vittima e riduce le opzioni di ripristino. Il movimento laterale sfrutta credenziali rubate, condivisioni amministrative come C$\Temp, scheduled task, DCOM e tecniche simili a PsExec. Avalon può compilare componenti .NET al volo tramite MSBuild, csc e InstallUtil, mantenendo flessibilità operativa e riducendo la necessità di distribuire binari statici facilmente rilevabili. La capacità di muoversi verso sistemi di backup, server applicativi e infrastrutture virtuali rende il framework particolarmente pericoloso in reti dove gli endpoint utenti hanno visibilità e credenziali sufficienti per raggiungere risorse critiche. In questa fase l’obiettivo è preparare il terreno: identificare asset ad alto valore, aumentare i privilegi, sottrarre dati e neutralizzare il recovery prima della cifratura.
CrownX crittografa file e ostacola il ripristino
Il modulo ransomware interno CrownX rappresenta la fase distruttiva del framework. La crittografia avviene tramite API crittografiche di Windows CNG, con targeting mirato di file legati a operazioni aziendali, sviluppo software e infrastrutture virtualizzate. Il ransomware lascia note di riscatto con istruzioni di pagamento e timer, una tecnica psicologica pensata per accelerare la decisione della vittima e aumentare la pressione sui team di risposta. Prima o durante la cifratura, CrownX disabilita il Volume Shadow Copy Service, cancella le copie shadow e interferisce con Windows Recovery Environment, riducendo le possibilità di recupero locale.

La componente anti-forense elimina o altera artefatti come Prefetch, AmCache, SRUM e journal NTFS USN, ostacolando la ricostruzione completa della catena d’attacco. La separazione nominale tra Avalon e CrownX suggerisce una struttura modulare: Avalon prepara, raccoglie e controlla; CrownX interviene quando l’operatore decide di passare alla disruption. Questa architettura consente agli attaccanti di scegliere se monetizzare tramite furto dati, accesso remoto persistente o ransomware, in base al valore dell’ambiente compromesso.
Evasione AMSI, ETW e prodotti EDR
Il framework mostra un sottosistema di evasione esteso. Avalon interferisce con AMSI, ETW, hardware breakpoints e risoluzione delle syscall, includendo tecniche come HalosGate e TartarusGate per aggirare controlli in user-mode. L’analisi segnala logiche specifiche per adattare il comportamento alla presenza di prodotti come Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee e Bitdefender. Questa granularità indica che gli sviluppatori hanno testato il framework contro stack difensivi reali o hanno assemblato tecniche note in un impianto modulare. Lo stack spoofing e la consapevolezza di Control Flow Enforcement Technology puntano a rendere meno affidabile l’analisi del flusso di esecuzione. L’esecuzione prevalentemente in memoria riduce ulteriormente le possibilità di rilevamento basato su file. La possibile impronta di sviluppo assistito da intelligenza artificiale è significativa: Avalon combina molte tecniche già note, ma le integra rapidamente in un framework coerente. Il rischio non è che l’AI crei capacità totalmente nuove, ma che acceleri l’assemblaggio di tool offensivi complessi da parte di attori con competenze intermedie.
Le difese devono fermare Avalon prima di CrownX
La mitigazione più efficace consiste nell’interrompere la catena prima che il modulo CrownX venga attivato. Le organizzazioni devono rafforzare il controllo sui link a servizi cloud esterni, in particolare archivi protetti da password distribuiti tramite email. Le immagini ISO provenienti da fonti non affidabili dovrebbero essere bloccate o trattate come contenuti ad alto rischio, mentre gli shortcut LNK dentro archivi e immagini disco devono generare alert immediati. Sul piano endpoint, è prioritario monitorare MSBuild quando esegue progetti da directory temporanee, usa CodeTaskFactory, avvia processi figli anomali o compila codice inline. Indicatori rilevanti includono bypass AMSI/ETW, traffico WinHTTP verso domini non riconosciuti, accessi anomali a database browser, lettura di wallet, interrogazioni su Veeam e Acronis, creazione di scheduled task remoti e cancellazione shadow copy. In caso di sospetta infezione, le credenziali devono essere ruotate rapidamente, i backup isolati verificati offline e gli host compromessi ricostruiti. Avalon dimostra che il ransomware moderno non è più solo cifratura: è una piattaforma di intrusione completa, dove la crittografia arriva dopo furto dati, ricognizione e sabotaggio del recovery.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









