Avalon веде до CrownX ransomware через юридичні документи

Avalon використовує юридичні листи, ZIP, ISO, LNK і MSBuild перед появою CrownX ransomware. Що перевірити, якщо ви відкрили архів.

Юридична приманка веде до ISO-образу, ярлика і попередження про CrownX ransomware.

Blackpoint Cyber повідомила про новий malware-фреймворк Avalon, який починається з підробленого листа про юридичні документи й може завершитися CrownX ransomware. Небезпека в тому, що атака не виглядає як звичайне EXE-вкладення. Користувача ведуть до захищеного архіву, ховають шкідливий вміст в ISO-образі, а потім використовують ярлик і довірені Windows-утиліти для запуску ланцюжка.

Практичний ризик зрозумілий: юридичний лист, договір або “захищений документ” може здатися терміновим. Якщо користувач завантажив архів, змонтував ISO і натиснув “PDF”-ярлик усередині, комп’ютер треба вважати потенційно скомпрометованим навіть до появи ransom note. У Avalon описані крадіжка облікових даних, віддалений доступ, пошкодження відновлення, антифорензика та компонент CrownX ransomware.

Чим відрізняється ця юридична приманка

У випадку Blackpoint перший лист спрямовував жертву до захищеного архіву, розміщеного поза email. В архіві був ISO-образ, поданий як пакет безпечних документів. Усередині змонтованого образу підроблений PDF-ярлик запускав команди, копіював прихований MSBuild-проєкт у тимчасовий шлях і виконував його через MSBuild.exe.

Така схема зменшує кількість очевидних червоних прапорців у самому листі. Поштова система бачить посилання й пароль, а не пряме malware-вкладення. Windows показує змонтований образ і ярлик, схожий на документ. Важлива не назва видимого файлу, а дія, яку виконує ярлик.

Приклад листа-приманки

Реальна кампанія може змінювати теми, імена файлів, відправників і хости завантаження. Безпечний приклад нижче показує впізнаваний шаблон: зовнішній відправник, захищений пакет документів, пароль у листі та ZIP або cloud download, який змушує відкривати файли поза нормальним порталом підпису.

Вигаданий лист із юридичною приманкою, захищеним ZIP-архівом і паролем.
Безпечний вигаданий приклад листа, який підштовхує користувача до архіву або змонтованого ISO-образу.

Не довіряйте лише імені відправника. Юридичні, фінансові, HR або vendor-документи краще перевіряти через відомий портал або контакт, якому ви вже довіряєте. Нормальний документообіг не має вимагати монтувати ISO-образ або запускати ярлик із завантаженого архіву.

Індикатори Avalon і CrownX

Етап або артефактЧому це важливо
Secure_Document_CA-283505_pdf.isoISO-образ, який у звіті використовувався як “захищений документ”.
Secure Document CA-283505.pdf.lnkЯрлик, що виглядав як PDF, але запускав команди.
Mimecast Secure File Logs\zfighv.tmpMSBuild XML-проєкт, скопійований з ISO та виконаний через довірену Windows-утиліту.
%TEMP%\ngen0cc9.datТимчасова копія проєкту під час виконання.
helloxcherry[.]comStaging-домен, до якого звертався managed loader.
.8hn2ycРозширення файлів, пов’язане з CrownX-encrypted файлами у звіті.

Індикатори корисні для triage, але не замінюють поведінкову перевірку. Стійкіший сигнал: завантажений архів, змонтований ISO, ярлик, який запускає cmd.exe, MSBuild із user-writable або тимчасового шляху, outbound-з’єднання loader chain і спроби пошкодити Volume Shadow Copy або Windows recovery.

Що робити, якщо ви відкрили архів або ISO

  1. Від’єднайте ПК від мережі, якщо натиснули ярлик, запускали файл з ISO або побачили ransom note. Не використовуйте цей пристрій для пошти, банкінгу, адмін-порталів чи password manager.
  2. Збережіть лист і завантажені файли для адміністратора або incident responder. Не видаляйте все до фіксації sender, URL, імен архіву, файлів, часу та alert-ів.
  3. Змініть паролі з чистого пристрою. Почніть із пошти, VPN, cloud storage, browser-synced accounts, admin accounts і фінансових систем.
  4. Перевірте прихований запуск і persistence: Startup folders, Task Scheduler, services, Run keys, user Temp, історію mounted ISO і недавню активність MSBuild.
  5. Проскануйте пристрій перед повторним входом. Якщо файл запускався, одного quarantine може бути замало: loader, scheduled task, скопійований project file або stealer можуть залишитися. Запустіть повне сканування Gridinsoft Anti-Malware, видаліть detections, перезавантажте ПК і повторіть перевірку, якщо alert повертається.
  6. Перевірте backup-и перед відновленням. Avalon описано з recovery-disruption можливостями, тому локальні restore points і shadow copies не можна вважати надійними за замовчуванням.

[gs_cta variant=”phishing_download” campaign=”avalon_crownx_legal_lure_ua”]

Що перевірити адміністраторам

Шукайте зовнішні protected archives із юридичним або фінансовим wording, монтування ISO користувачами, які зазвичай не працюють із disk images, запуск ярликів із mounted images і MSBuild.exe, що обробляє project files із user-writable paths. Корелюйте це з child processes, короткоживучими project files, outbound HTTPS, записами до admin shares, remote tasks або services, а також змінами VSS чи Windows recovery settings.

Blackpoint також описує recovery-targeting поведінку навколо Volume Shadow Copy Service, файлів Windows Recovery Environment на кшталт C:\Recovery\WindowsRE\Winre.wim і registry paths під SOFTWARE\Microsoft\Windows\CurrentVersion\ReAgent. Якщо ці артефакти змінювалися поруч із підозрілим document lure, розглядайте це як ширше вторгнення, а не як одну заражену машину.

FAQ

Avalon і CrownX — це одне й те саме?

Ні. Blackpoint описує Avalon як ширший malware framework, а CrownX — як ransomware/extortion компонент усередині цього framework.

Чи є ризик, якщо я лише отримав лист?

Сам факт отримання листа не означає зараження. Найнебезпечніший момент — завантаження архіву, монтування ISO, натискання ярлика або запуск файлу з пакета.

Чи кожен архів із паролем є шкідливим?

Ні. Але несподівані password-protected archives із зовнішніх посилань ризиковані, бо пароль може допомогти файлу обійти частину перевірок пошти.

Чи може нормальний MSBuild бути частиною атаки?

MSBuild.exe є легітимним інструментом. Він стає підозрілим, коли неочікуваний ярлик або завантажений project file запускає його з тимчасового чи user-writable шляху.

Джерела

  1. Nevan Beal and Sam Decker. “Vibe Coded Extortion: Avalon’s Path from Legal Lure to CrownX Ransom Capabilities.” Blackpoint Cyber, published July 2, 2026, accessed July 5, 2026. https://blackpointcyber.com/blog/avalons-path-from-legal-lure-to-crownx-ransom-capabilities/
  2. Cybersecurity and Infrastructure Security Agency. “#StopRansomware Guide.” CISA, accessed July 5, 2026. https://www.cisa.gov/stopransomware/ransomware-guide
  3. MITRE ATT&CK. “Trusted Developer Utilities Proxy Execution: MSBuild (T1127.001).” MITRE, accessed July 5, 2026. https://attack.mitre.org/techniques/T1127/001/

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.