Investigadores del Adversary Pursuit Group de Blackpoint Cyber publicaron detalles sobre un framework de malware hasta ahora no documentado que llaman Avalon, un kit modular que combina robo de credenciales, movimiento lateral, acceso remoto, sabotaje de respaldos y ejecución de ransomware en una sola cadena de entrega. El componente de ransomware se llama internamente CrownX. Según los investigadores, toda la operación muestra señales de desarrollo asistido por IA, con componentes ensamblados rápidamente y con poca atención a la seguridad operacional. Ese detalle importa menos que la forma en que arranca la cadena.
El ataque comienza con un correo que simula un documento legal y dirige al destinatario a un archivo protegido con contraseña alojado en Proton Drive. En lugar de adjuntar contenido malicioso directamente, donde el escáner de adjuntos de una pasarela de correo podría detectarlo, la carga útil se esconde dentro de una imagen ISO. Una vez montada, la ISO muestra un acceso directo con apariencia de documento junto a una carpeta llamada “Mimecast Secure File Logs”, un artefacto fabricado diseñado para parecer el tipo de registro de auditoría de archivos seguros que produciría un proveedor real de seguridad de correo. El archivo malicioso real se encuentra en un proyecto de MSBuild disfrazado con extensión .tmp. Al abrir el acceso directo se ejecuta ese proyecto, que carga un ensamblado .NET que interfiere con Event Tracing for Windows para cegar las herramientas de seguridad antes de descargar la siguiente etapa.
El Malware Es la Parte Menos Interesante
Cada análisis técnico sobre Avalon se centra, con razón, en el contrabando mediante ISO, la interferencia con ETW y la capacidad de CrownX para deshabilitar los sistemas de respaldo y recuperación antes de cifrar. Esa es la parte que los equipos de seguridad pueden parchear, detectar o aislar en un sandbox. Pero nada de eso se ejecuta a menos que el correo con el documento legal falsificado se abra primero. Toda la cadena de múltiples etapas, robo de credenciales, movimiento lateral, ransomware, todo, depende de que un solo mensaje pase una pasarela de correo y convenza a un destinatario de que proviene de una fuente legítima. Si se elimina el framework de malware, lo que queda es un correo de phishing construido para hacerse pasar por una correspondencia que una empresa normalmente confiaría sin pensarlo dos veces.
Tomar Prestado el Nombre de un Proveedor de Seguridad para Vender la Mentira
La decisión de nombrar una carpeta señuelo “Mimecast Secure File Logs” no es casual. Toma prestada la credibilidad de una marca que los destinatarios asocian con la seguridad del correo mismo, apostando a que un nombre sinónimo de protección baje la guardia de alguien que ya abrió el archivo. Esta es la misma lógica detrás de toda campaña de suplantación de marca que imita a un banco, una empresa de mensajería o un proveedor de software: la familiaridad reduce el escrutinio. El nombre de la carpeta solo tiene que sobrevivir a una mirada rápida.
Qué Habría Detenido Esto Antes de que el Malware Siquiera Se Ejecutara
Aquí está la parte que debería estar en el radar de todo dueño de dominio. Si el correo con el documento legal falsificado hubiera usado el dominio From exacto de un despacho de abogados o socio comercial real, en lugar de un dominio similar, una política DMARC aplicada en p=reject sobre ese dominio habría provocado el rechazo del mensaje durante la transacción SMTP, antes de llegar a una bandeja de entrada, antes de que la ISO se montara siquiera, antes de que CrownX tuviera oportunidad de deshabilitar un solo respaldo. Nada de la sofisticación del malware, o la falta de ella, habría importado, porque el correo que lo transportaba nunca habría llegado. La aplicación de DMARC no detecta el contrabando mediante ISO ni las carpetas falsas de proveedores. No necesita hacerlo. Elimina el vehículo de entrega antes de que cualquiera de esos elementos entre en juego.
Esa distinción vale la pena tenerla presente. Los autores de Avalon claramente invirtieron esfuerzo en la evasión de defensas una vez que la carga útil está corriendo, evadiendo por nombre a Defender, SentinelOne, CrowdStrike y media docena de otras herramientas de endpoint. Invirtieron comparativamente poco en hacer que el malware en sí fuera elegante. La naturaleza asistida por IA y armada a las apuradas del framework es exactamente la razón por la que el correo tuvo que esforzarse tanto para lograr que se montara la ISO, y exactamente la razón por la que la autenticación a nivel de dominio, que detiene el correo sin importar qué contenga, sigue siendo el control de mayor impacto disponible.
La Conclusión
Las cadenas de ransomware sofisticadas siguen empezando de la misma forma en que casi siempre lo han hecho: un correo que parece provenir de un lugar en el que el destinatario confía. La creatividad técnica dentro de la ISO no cambia ese hecho, solo eleva las consecuencias de lo que pasa si el correo logra entrar. Aplicar DMARC en tus propios dominios no impide que los atacantes registren dominios similares, pero sí impide que alguien use tu dominio exacto para entregar el próximo señuelo estilo Avalon a tus clientes, tus socios o tu propio personal.
El malware sofisticado solo importa después de que un correo falsificado supera tus defensas. Regístrate gratis en Excello Mail y aplica DMARC en tus dominios para que una suplantación exacta de tu empresa sea rechazada antes de llegar jamás a una bandeja de entrada.