Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Hacker News · 2T SIDEN · sikkerhet

Nytt malware-rammeverk Avalon bærer preg av KI-assistert utvikling

SYNOPSIS_GENERERT

En forfalsket e-post om et juridisk dokument, et passordbeskyttet arkiv på Proton Drive og en ISO-fil. Slik starter kjeden som ender med Avalon, et modulært malware-rammeverk forskere mener er bygget med hjelp av KI.

Angrepet starter med en e-post om et falskt juridisk dokument som leder til et passordbeskyttet arkiv på Proton Drive. Inne i en ISO-fil ligger en snarvei kalt «Secure Document CA-283505.pdf.lnk». Klikker du, kjøres et MSBuild-prosjekt som laster en .NET-komponent, slår ut Event Tracing for Windows for å skjule spor, og henter selve Avalon over HTTPS.

Rammeverket er omfattende. Det stjeler passord og cookies fra nettlesere, tømmer kryptolommebøker som MetaMask og Phantom, henter data fra Discord, Slack og VPN-klienter, sprer seg lateralt, krypterer filer med Windows Cryptography API og sletter Volume Shadow Copy slik at gjenoppretting blir vanskelig. Til slutt kan det skade partisjonstabeller og boot-sektorer og gjøre maskinen ubrukelig. CrownX er bare sluttfasen.

Det interessante for oss er hva forskerne sier om opphavet. Komponentene er satt sammen med lite hensyn til tradecraft og operasjonell sikkerhet, noe som tyder på KI-assistert utvikling. KI senker terskelen: en trusselaktør trenger ikke lenger dyp ekspertise for å bygge noe avansert, og tilstedeværelsen av en avansert funksjon er ikke lenger et pålitelig tegn på at aktøren er sofistikert.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN