Avalon minaccia Windows, il malware CrownX punta anche a backup e ripristino

Notizia in breve

Avalon colpisce Windows con una catena di phishing che porta al ransomware CrownX e tenta di danneggiare credenziali, backup e strumenti di ripristino, aumentando per le aziende il rischio di blocchi prolungati e recuperi più difficili.

Windows
Avalon minaccia Windows, il malware CrownX punta anche a backup e ripristino
Ricevi le notizie di Zazoom.it su GoogleTutte le news direttamente su Google.
Segui

Avalon è un framework malware modulare scoperto su sistemi Windows e progettato per portare l’attacco oltre la semplice cifratura dei file. La minaccia combina furto di credenziali, accesso remoto, movimento laterale e distribuzione del ransomware CrownX.

L’infezione parte da email di phishing costruite come falsi documenti legali. La vittima viene spinta a scaricare un archivio protetto da password da Proton Drive: al suo interno c’è un’immagine ISO che, una volta montata, mostra un collegamento Windows camuffato da documento PDF.

L’apertura del file.lnk avvia una catena tecnica basata su MSBuild. Il processo carica componenti.NET, riduce la visibilità degli strumenti di monitoraggio e scarica tramite HTTPS il payload successivo, eseguendo molte fasi direttamente in memoria.

La scelta di usare strumenti legittimi di Microsoft, tra cui MSBuild.exe, csc.exe e InstallUtil.exe, rende l’attività più difficile da distinguere da operazioni amministrative normali. Avalon prova così a lasciare meno tracce su disco e a ostacolare i controlli basati sui file.

Il framework può raccogliere dati da browser, wallet di criptovalute, VPN, SSH, RDP e Windows Credential Manager. La componente ransomware usa cifratura AES-GCM tramite API BCrypt, mentre le funzioni anti-forensi includono manipolazioni di ETW e cancellazione delle tracce.

Il punto più critico riguarda il recupero dei sistemi. Avalon può fermare il Volume Shadow Copy Service, eliminare copie shadow, modificare chiavi di registro legate al ripristino e prendere di mira WinRE e configurazioni di restore.

Il malware include anche capacità di scrittura diretta sul disco fisico, con possibili danni a record di partizione e avvio. Per un’azienda questo significa che il problema non è solo il riscatto, ma la perdita concreta dei percorsi di ripristino.

Il modulo di evasione cita prodotti endpoint come Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee e Bitdefender. L’attacco procede per fasi coordinate: consegna iniziale, furto dati, accesso remoto, movimento laterale e cifratura.

La difesa richiede controlli integrati: filtro email avanzato, EDR con analisi comportamentale, privilegi minimi, segmentazione della rete e test periodici dei backup. La verifica del ripristino resta decisiva, perché un backup non provato può fallire proprio quando serve.

?
Vuoi approfondire questa notizia?Condividila sui social o cerca aggiornamenti, video e discussioni correlate.

Notizie correlate

Windows 11: Caratteristiche, Requisiti e Vantaggi rispetto a Windows 10

Windows 10: Caratteristiche, Fine del Supporto e la Scelta tra Windows 10 e Windows 11

Cerca news, video e discussioni social in tutto il web su 'Windows'