Malware Avalon: Nueva amenaza utiliza ransomware CrownX

.” (49 words)
“2. Carga del ensamblado .NET: El archivo de MSBuild contiene un código en línea que, al ser compilado en memoria, carga un ensamblado .NET malicioso. Este cargador (loader) es responsable de preparar el sistema de la víctima para recibir el payload principal de Avalon sin levantar sospechas en el Centro de Operaciones de Seguridad (SOC).” (50 words)
“3. Silenciamiento de la telemetría (Cegando a ETW y AMSI): Antes de realizar cualquier comunicación de red o de inyectar código en otros procesos, el cargador .NET ejecuta una maniobra crítica: interfiere de manera directa con Event Tracing for Windows (ETW) y con la Antimalware Scan Interface (AMSI). Para neutralizar ETW, el malware parchea en memoria las funciones nativas de la biblioteca de Windows ntdll.dll. Específicamente, sobrescribe los puntos de entrada de las siguientes funciones:” (74 words)
“EtwEventWrite, EtwEventWriteEx, EtwEventWriteFull, EtwEventWriteTransfer, EtwEventWriteString” (5 words – wait, let’s treat it as lists)
“Al manipular estas funciones, el malware interrumpe el flujo de telemetría que el sistema operativo envía de forma nativa a las soluciones de seguridad locales. Adicionalmente, el cargador parchea la función AmsiScanBuffer en amsi.dll, deshabilitando la capacidad de Windows Defender y otros
Escrito por
TempMail Ninja
Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.


