Pesquisadores do Adversary Pursuit Group da Blackpoint Cyber publicaram detalhes sobre um framework de malware até então não documentado, chamado Avalon, um kit modular que reúne roubo de credenciais, movimento lateral, acesso remoto, sabotagem de backups e execução de ransomware em uma única cadeia de entrega. O componente de ransomware foi batizado internamente de CrownX. Segundo os pesquisadores, toda a operação apresenta sinais de desenvolvimento assistido por IA, com componentes montados rapidamente e com pouca atenção à segurança operacional. Esse detalhe importa menos do que a forma como a cadeia começa.
O ataque começa com um e-mail que simula um documento jurídico e direciona o destinatário a um arquivo protegido por senha hospedado no Proton Drive. Em vez de anexar conteúdo malicioso diretamente, onde o scanner de anexos de um gateway de e-mail poderia detectá-lo, a carga maliciosa fica escondida dentro de uma imagem ISO. Uma vez montada, a ISO apresenta um atalho com aparência de documento ao lado de uma pasta chamada “Mimecast Secure File Logs”, um artefato fabricado projetado para parecer o tipo de registro de auditoria de arquivos seguros que um fornecedor real de segurança de e-mail produziria. O arquivo malicioso real está em um projeto MSBuild disfarçado com extensão .tmp. Ao abrir o atalho, esse projeto é executado, carregando um assembly .NET que interfere no Event Tracing for Windows para cegar as ferramentas de segurança antes de baixar o próximo estágio.
O Malware É a Parte Menos Interessante
Toda análise técnica sobre o Avalon se concentra, com razão, no contrabando via ISO, na interferência com o ETW e na capacidade do CrownX de desativar sistemas de backup e recuperação antes de criptografar. Essa é a parte que as equipes de segurança conseguem corrigir, detectar ou isolar em sandbox. Mas nada disso roda a menos que o e-mail com o documento jurídico falsificado seja aberto primeiro. Toda a cadeia de múltiplos estágios, roubo de credenciais, movimento lateral, ransomware, tudo isso, depende de uma única mensagem passar por um gateway de e-mail e convencer um destinatário de que ela veio de uma fonte legítima. Se removermos o framework de malware, o que sobra é um e-mail de phishing construído para se passar por uma correspondência que uma empresa normalmente confiaria sem pensar duas vezes.
Tomando Emprestado o Nome de um Fornecedor de Segurança para Vender a Mentira
A escolha de nomear uma pasta-isca como “Mimecast Secure File Logs” não é acidental. Ela toma emprestada a credibilidade de uma marca que os destinatários associam à própria segurança de e-mail, apostando que um nome sinônimo de proteção vai baixar a guarda de quem já abriu o arquivo. Essa é a mesma lógica por trás de toda campanha de falsificação de marca que imita um banco, uma transportadora ou um fornecedor de software: a familiaridade reduz o escrutínio. O nome da pasta só precisa sobreviver a uma olhada rápida.
O Que Teria Impedido Isso Antes Mesmo de o Malware Rodar
Aqui está a parte que deveria estar no radar de todo dono de domínio. Se o e-mail com o documento jurídico falsificado tivesse usado o domínio From exato de um escritório de advocacia ou parceiro comercial real, em vez de um domínio parecido, uma política DMARC aplicada em p=reject sobre esse domínio teria causado a rejeição da mensagem durante a transação SMTP, antes de chegar a uma caixa de entrada, antes de a ISO ser montada, antes de o CrownX ter qualquer chance de desativar um único backup. Nada da sofisticação do malware, ou da falta dela, teria importado, porque o e-mail que o carregava nunca teria chegado. A aplicação do DMARC não detecta contrabando via ISO nem pastas falsas de fornecedores. Ela não precisa disso. Ela remove o veículo de entrega antes que qualquer um desses elementos entre em jogo.
Essa distinção vale a pena guardar. Os autores do Avalon claramente investiram esforço em evasão de defesas depois que a carga maliciosa está rodando, driblando por nome o Defender, o SentinelOne, o CrowdStrike e meia dúzia de outras ferramentas de endpoint. Investiram comparativamente pouco em tornar o malware em si elegante. A natureza assistida por IA e montada às pressas do framework é exatamente o motivo pelo qual o e-mail precisou se esforçar tanto para conseguir que a ISO fosse montada, e exatamente o motivo pelo qual a autenticação em nível de domínio, que barra o e-mail independentemente do que ele contenha, continua sendo o controle de maior impacto disponível.
A Conclusão
Cadeias de ransomware sofisticadas ainda começam da mesma forma que quase sempre começaram: um e-mail que parece vir de um lugar em que o destinatário confia. A criatividade técnica dentro da ISO não muda esse fato, apenas eleva as consequências do que acontece se o e-mail conseguir entrar. Aplicar o DMARC nos seus próprios domínios não impede que atacantes registrem domínios parecidos, mas impede que alguém use o seu domínio exato para entregar a próxima isca estilo Avalon aos seus clientes, parceiros ou à sua própria equipe.
Malware sofisticado só importa depois que um e-mail falsificado passa pelas suas defesas. Cadastre-se gratuitamente na Excello Mail e aplique o DMARC nos seus domínios para que uma falsificação exata da sua empresa seja rejeitada antes de sequer chegar a uma caixa de entrada.