Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Nuevas características de Avalon Malware Framework Pack CrownX Ransomware

Los dispositivos con teclado Dune se pueden utilizar como controladores de conferencias, etc.

Chevrolet ha construido una camioneta EV de fabricación estadounidense, entonces, ¿por qué nadie la compra?

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Nuevas características de Avalon Malware Framework Pack CrownX Ransomware
Identidad

Nuevas características de Avalon Malware Framework Pack CrownX Ransomware

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 3, 2026No hay comentarios6 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Investigadores de ciberseguridad han descubierto un marco de malware modular previamente no documentado, con nombre en código Avalon, que se distribuye a través de una cadena de phishing de varias etapas que puede eludir los controles de seguridad tradicionales.

Avalon reúne una variedad de funciones bajo un mismo paraguas, combinando recopilación de credenciales, movimiento lateral, acceso remoto, interrupción de la recuperación y ejecución de ransomware. Este componente de ransomware se denomina internamente CrownX.

«Este ataque comenzó con un correo electrónico disfrazado de documento legal que dirigía al destinatario a un archivo protegido con contraseña en una unidad Proton», dijeron en un comunicado los investigadores de Blackpoint Cyber ​​​​Nevan Beal y Sam Decker. «El contenido malicioso estaba incrustado dentro de la imagen ISO en lugar de adjuntarse directamente, lo que hacía menos probable que fuera detectado en la capa de correo electrónico».

Cuando el destinatario del correo electrónico interactúa con un acceso directo de Windows con un tema de documento (‘Secure Document CA-283505.pdf.lnk’) dentro de la imagen montada, desencadena una secuencia de malware paso a paso que finalmente implementa Avalon. Específicamente, el acceso directo ejecuta un comando que inicia un proyecto de MSBuild ubicado en la imagen ISO.

Los proyectos de MSBuild cargan ensamblados .NET integrados. Esto impide el funcionamiento normal de Event Tracing para Windows (ETW), reduce la visibilidad forense y descarga la carga útil de la siguiente etapa involucrada en el lanzamiento de Avalon a través de HTTPS.

Este marco de malware cuenta con un extenso subsistema de evasión de defensa destinado a evadir la detección, al tiempo que incorpora métodos específicos para ocultar su ejecución de las herramientas de seguridad asociadas con Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee y Bitdefender.

Los investigadores dijeron: «Estas características proporcionan al marco numerosas formas de reducir la telemetría, evitar el monitoreo del modo de usuario y ajustar la ejecución dependiendo de los controles defensivos presentes en el host».

El conjunto completo de funciones integradas en Avalon incluye:

Recopila credenciales, cookies, historial y marcadores de navegadores basados ​​en Chromium y Mozilla Firefox. Recopila datos de aplicaciones de billetera de criptomonedas como MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live, Bitcoin Core, así como Discord, Slack, Teams, OpenVPN, WireGuard y Windows Credential Manager. Recopile detalles sobre hosts conocidos de SSH, conexiones RDP guardadas, perfiles de Wi-Fi y artefactos de contraseña en la configuración de Política de grupo. Extraiga los datos a un servidor remoto (‘helloxcherry(.)com’) y sondee el servidor para recibir comandos de tarea. Realice reconocimientos y priorice sistemas que tengan el potencial de aumentar el alcance de un compromiso. Utiliza las API de cifrado de Windows para cifrar archivos relacionados con operaciones comerciales, desarrollo de software, ingeniería, almacenamiento de datos e infraestructura virtual, y entrega una nota de rescate que incluye instrucciones de pago y un temporizador que indica cuánto tiempo queda hasta que se aumente el rescate. Impide la recuperación del sistema al finalizar el Servicio de instantáneas de volumen y eliminar las instantáneas. Utilice un subsistema de limpieza antiforense para eliminar rastros de artefactos que complican los esfuerzos de respuesta a incidentes. Puede interactuar directamente con la estructura del disco para dañar la información de la partición, los registros de arranque u otras áreas críticas de la unidad, inutilizando efectivamente el sistema.

«CrownX representó la etapa final de la extorsión, pero el daño se extendió mucho más allá del cifrado en sí», dijo la compañía. «Cuando apareció la nota de rescate, el marco más amplio ya había recopilado credenciales, establecido comunicaciones C2, preparado múltiples caminos para el movimiento lateral y socavado las opciones de recuperación local».

Otro detalle importante es que Avalon muestra signos de desarrollo asistido por inteligencia artificial (IA). Ensambla múltiples componentes sin tener en cuenta la tecnología avanzada o la seguridad operativa, y requiere una gran experiencia para construirlo.

Este descubrimiento es otra señal de cómo la IA está reduciendo las barreras de entrada, facilitando el desarrollo de malware con menos tiempo y esfuerzo, e incluso permitiendo a atacantes con poca experiencia técnica o recursos idear herramientas que pueden requerir un esfuerzo de desarrollo significativo. En otras palabras, la presencia de ciertas capacidades ya no es un indicador confiable de la sofisticación o madurez operativa de un actor de amenazas.

«La cadena de destrucción demuestra cómo las tentaciones comerciales familiares evolucionan hacia marcos reutilizables y multifuncionales diseñados para recopilar credenciales, recuperar cargas útiles posteriores completamente en la memoria y realizar múltiples acciones posteriores desde un único punto final comprometido», dijo Blackpoint Cyber ​​​​.

LLM detrás de los ataques de ransomware agente

La divulgación se produjo cuando Sysdig detalló lo que dijo era la primera infección de ransomware basada en agentes documentada públicamente que fue impulsada de principio a fin por un modelo de lenguaje extenso, reintentando y ajustando acciones en tiempo real para completar tareas. El agente actor de amenazas (ATA) detrás de esta operación tiene el nombre en código JADEPUFFER.

Michael Clarke de Sysdig dijo que el operador «obtuvo acceso inicial a una instancia de Langflow orientada a Internet a través de CVE-2025-3248, ejecutó una campaña adaptativa y totalmente automatizada y finalmente se concentró en sus objetivos previstos, ejecutando un manual destructivo de extorsión de bases de datos contra los servidores de bases de datos de producción de la víctima».

«Las habilidades para ejecutar ransomware se han reducido al costo de ejecutar un agente, y si ese agente se ejecuta con credenciales robadas a través del jacking LLM, el costo para el atacante es cercano a cero».

Malware de IA que utiliza LLM en ataques sin código

Este descubrimiento también sigue al descubrimiento de malware de inteligencia artificial que combina bots de Telegram con API públicas de LLM para diseñar ataques sin código. Una vez activado, el implante envía detalles básicos sobre el sistema comprometido al bot de Telegram del atacante e ingresa en un bucle de comando y control (C2) que sondea la API del bot cada cinco segundos en busca de nuevos mensajes. Los resultados de la ejecución del comando se extraen y devuelven utilizando el mismo canal.

El malware se caracteriza por reenviar cada mensaje del operador a un punto final público de la API LLM (‘api.groq(.)com/openai/v1/chat/completions’), que traduce las instrucciones en lenguaje natural proporcionadas por el atacante en comandos de shell equivalentes. Este artefacto se subió a la plataforma VirusTotal el 11 de marzo de 2026 y hasta la fecha no tiene detecciones en todos los motores.

«Esta investigación introduce una capa de traducción LLM que reemplaza la sintaxis del shell con texto sin formato. El atacante ingresa instrucciones de texto sin formato en Telegram», dijo la Unidad 42 de Palo Alto Networks. «LLM convierte las instrucciones en comandos de shell y la víctima ejecuta los comandos de shell. No se requieren conocimientos de línea de comandos».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleLos dispositivos con teclado Dune se pueden utilizar como controladores de conferencias, etc.
corp@blsindustriaytecnologia.com
  • Website

Related Posts

El paquete npm relacionado con Corea del Norte imita el polyfill acumulativo para robar secretos de los desarrolladores

julio 3, 2026

El Likho blindado apunta a agencias gubernamentales y al sector energético con BusySnake Stealer

julio 3, 2026

Miembro del Parlamento Europeo investiga software espía pirateado con Pegasus

julio 3, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Nuevas características de Avalon Malware Framework Pack CrownX Ransomware

Los dispositivos con teclado Dune se pueden utilizar como controladores de conferencias, etc.

Chevrolet ha construido una camioneta EV de fabricación estadounidense, entonces, ¿por qué nadie la compra?

El paquete npm relacionado con Corea del Norte imita el polyfill acumulativo para robar secretos de los desarrolladores

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.