Blackpoint Cyber повідомила про новий malware-фреймворк Avalon, який починається з підробленого листа про юридичні документи й може завершитися CrownX ransomware. Небезпека в тому, що атака не виглядає як звичайне EXE-вкладення. Користувача ведуть до захищеного архіву, ховають шкідливий вміст в ISO-образі, а потім використовують ярлик і довірені Windows-утиліти для запуску ланцюжка.
Практичний ризик зрозумілий: юридичний лист, договір або “захищений документ” може здатися терміновим. Якщо користувач завантажив архів, змонтував ISO і натиснув “PDF”-ярлик усередині, комп’ютер треба вважати потенційно скомпрометованим навіть до появи ransom note. У Avalon описані крадіжка облікових даних, віддалений доступ, пошкодження відновлення, антифорензика та компонент CrownX ransomware.
Чим відрізняється ця юридична приманка
У випадку Blackpoint перший лист спрямовував жертву до захищеного архіву, розміщеного поза email. В архіві був ISO-образ, поданий як пакет безпечних документів. Усередині змонтованого образу підроблений PDF-ярлик запускав команди, копіював прихований MSBuild-проєкт у тимчасовий шлях і виконував його через MSBuild.exe.
Така схема зменшує кількість очевидних червоних прапорців у самому листі. Поштова система бачить посилання й пароль, а не пряме malware-вкладення. Windows показує змонтований образ і ярлик, схожий на документ. Важлива не назва видимого файлу, а дія, яку виконує ярлик.
Приклад листа-приманки
Реальна кампанія може змінювати теми, імена файлів, відправників і хости завантаження. Безпечний приклад нижче показує впізнаваний шаблон: зовнішній відправник, захищений пакет документів, пароль у листі та ZIP або cloud download, який змушує відкривати файли поза нормальним порталом підпису.

Не довіряйте лише імені відправника. Юридичні, фінансові, HR або vendor-документи краще перевіряти через відомий портал або контакт, якому ви вже довіряєте. Нормальний документообіг не має вимагати монтувати ISO-образ або запускати ярлик із завантаженого архіву.
Індикатори Avalon і CrownX
| Етап або артефакт | Чому це важливо |
Secure_Document_CA-283505_pdf.iso | ISO-образ, який у звіті використовувався як “захищений документ”. |
Secure Document CA-283505.pdf.lnk | Ярлик, що виглядав як PDF, але запускав команди. |
Mimecast Secure File Logs\zfighv.tmp | MSBuild XML-проєкт, скопійований з ISO та виконаний через довірену Windows-утиліту. |
%TEMP%\ngen0cc9.dat | Тимчасова копія проєкту під час виконання. |
helloxcherry[.]com | Staging-домен, до якого звертався managed loader. |
.8hn2yc | Розширення файлів, пов’язане з CrownX-encrypted файлами у звіті. |
Індикатори корисні для triage, але не замінюють поведінкову перевірку. Стійкіший сигнал: завантажений архів, змонтований ISO, ярлик, який запускає cmd.exe, MSBuild із user-writable або тимчасового шляху, outbound-з’єднання loader chain і спроби пошкодити Volume Shadow Copy або Windows recovery.
Що робити, якщо ви відкрили архів або ISO
- Від’єднайте ПК від мережі, якщо натиснули ярлик, запускали файл з ISO або побачили ransom note. Не використовуйте цей пристрій для пошти, банкінгу, адмін-порталів чи password manager.
- Збережіть лист і завантажені файли для адміністратора або incident responder. Не видаляйте все до фіксації sender, URL, імен архіву, файлів, часу та alert-ів.
- Змініть паролі з чистого пристрою. Почніть із пошти, VPN, cloud storage, browser-synced accounts, admin accounts і фінансових систем.
- Перевірте прихований запуск і persistence: Startup folders, Task Scheduler, services, Run keys, user Temp, історію mounted ISO і недавню активність MSBuild.
- Проскануйте пристрій перед повторним входом. Якщо файл запускався, одного quarantine може бути замало: loader, scheduled task, скопійований project file або stealer можуть залишитися. Запустіть повне сканування Gridinsoft Anti-Malware, видаліть detections, перезавантажте ПК і повторіть перевірку, якщо alert повертається.
- Перевірте backup-и перед відновленням. Avalon описано з recovery-disruption можливостями, тому локальні restore points і shadow copies не можна вважати надійними за замовчуванням.
[gs_cta variant=”phishing_download” campaign=”avalon_crownx_legal_lure_ua”]
Що перевірити адміністраторам
Шукайте зовнішні protected archives із юридичним або фінансовим wording, монтування ISO користувачами, які зазвичай не працюють із disk images, запуск ярликів із mounted images і MSBuild.exe, що обробляє project files із user-writable paths. Корелюйте це з child processes, короткоживучими project files, outbound HTTPS, записами до admin shares, remote tasks або services, а також змінами VSS чи Windows recovery settings.
Blackpoint також описує recovery-targeting поведінку навколо Volume Shadow Copy Service, файлів Windows Recovery Environment на кшталт C:\Recovery\WindowsRE\Winre.wim і registry paths під SOFTWARE\Microsoft\Windows\CurrentVersion\ReAgent. Якщо ці артефакти змінювалися поруч із підозрілим document lure, розглядайте це як ширше вторгнення, а не як одну заражену машину.
FAQ
Avalon і CrownX — це одне й те саме?
Ні. Blackpoint описує Avalon як ширший malware framework, а CrownX — як ransomware/extortion компонент усередині цього framework.
Чи є ризик, якщо я лише отримав лист?
Сам факт отримання листа не означає зараження. Найнебезпечніший момент — завантаження архіву, монтування ISO, натискання ярлика або запуск файлу з пакета.
Чи кожен архів із паролем є шкідливим?
Ні. Але несподівані password-protected archives із зовнішніх посилань ризиковані, бо пароль може допомогти файлу обійти частину перевірок пошти.
Чи може нормальний MSBuild бути частиною атаки?
MSBuild.exe є легітимним інструментом. Він стає підозрілим, коли неочікуваний ярлик або завантажений project file запускає його з тимчасового чи user-writable шляху.
Джерела
- Nevan Beal and Sam Decker. “Vibe Coded Extortion: Avalon’s Path from Legal Lure to CrownX Ransom Capabilities.” Blackpoint Cyber, published July 2, 2026, accessed July 5, 2026. https://blackpointcyber.com/blog/avalons-path-from-legal-lure-to-crownx-ransom-capabilities/
- Cybersecurity and Infrastructure Security Agency. “#StopRansomware Guide.” CISA, accessed July 5, 2026. https://www.cisa.gov/stopransomware/ransomware-guide
- MITRE ATT&CK. “Trusted Developer Utilities Proxy Execution: MSBuild (T1127.001).” MITRE, accessed July 5, 2026. https://attack.mitre.org/techniques/T1127/001/
