Malware Avalon Baru dengan Kemampuan Ransomware CrownX yang Mengancam

Jul 4, 2026 - 02:10
 0  1
Malware Avalon Baru dengan Kemampuan Ransomware CrownX yang Mengancam

Para peneliti keamanan siber telah menemukan sebuah kerangka malware modular baru bernama Avalon yang menyebar melalui rantai serangan phishing bertahap, mampu melewati berbagai kontrol keamanan tradisional. Avalon menggabungkan pencurian kredensial, pergerakan lateral, akses jarak jauh, pengacauan proses pemulihan, dan eksekusi ransomware, dengan komponen ransomware internal yang dinamai CrownX.

Ad
Ad

Metode Penyebaran Malware Avalon

Menurut peneliti dari Blackpoint Cyber, Nevan Beal dan Sam Decker, serangan dimulai dengan email phishing yang menyamar sebagai dokumen legal yang mengarahkan korban ke arsip berpassword di layanan Proton Drive. "Konten berbahaya disisipkan di dalam gambar ISO daripada dilampirkan langsung," sehingga meminimalkan kemungkinan terdeteksi di lapisan email.

Jika penerima email membuka file pintasan Windows berjudul "Secure Document CA-283505.pdf.lnk" yang ada di dalam gambar ISO tersebut, urutan malware bertahap akan aktif dan akhirnya memasang Avalon. Pintasan itu menjalankan perintah untuk meluncurkan proyek MSBuild yang terdapat dalam gambar ISO.

Proyek MSBuild kemudian memuat sebuah assembly .NET yang menyabotase fungsi Event Tracing for Windows (ETW) untuk mengurangi visibilitas forensik sekaligus mengunduh muatan tahap berikutnya melalui HTTPS yang pada akhirnya meluncurkan Avalon.

Fitur Canggih Avalon dalam Menghindari Deteksi

Avalon memiliki subsistem penghindaran deteksi yang ekstensif, dirancang untuk menyembunyikan eksekusinya dari berbagai solusi keamanan populer, termasuk Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee, dan Bitdefender.

Menurut peneliti, kemampuan ini memungkinkan Avalon untuk secara dinamis mengurangi telemetri, melewati pemantauan mode pengguna, serta menyesuaikan cara eksekusinya sesuai dengan kontrol pertahanan yang ada pada host.

Rangkaian Kemampuan Lengkap Avalon

  • Mengumpulkan kredensial, cookie, riwayat, dan bookmark dari browser berbasis Chromium dan Mozilla Firefox.
  • Mengambil data dari aplikasi dompet kripto seperti MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live, dan Bitcoin Core, juga dari aplikasi komunikasi seperti Discord, Slack, Teams, OpenVPN, WireGuard, serta Windows Credential Manager.
  • Mengumpulkan informasi tentang host SSH yang dikenal, koneksi RDP tersimpan, profil Wi-Fi, dan artefak Group Policy Preferences cpassword.
  • Mengeksfiltrasi data ke server jarak jauh dengan domain helloxcherry[.]com dan melakukan polling server untuk menerima perintah lebih lanjut.
  • Melakukan rekognisi untuk memprioritaskan sistem yang dapat memperluas cakupan kompromi.
  • Mengenkripsi berkas-berkas penting terkait operasi bisnis, pengembangan perangkat lunak, rekayasa, penyimpanan data, dan infrastruktur virtual menggunakan Windows Cryptography API, serta menyampaikan catatan tebusan dengan instruksi pembayaran dan penghitung waktu peningkatan jumlah tebusan.
  • Menghambat proses pemulihan sistem dengan menghentikan Volume Shadow Copy Service dan menghapus salinan bayangan.
  • Membersihkan jejak dengan subsistem anti-forensik untuk mempersulit upaya tanggap insiden.
  • Berinteraksi langsung dengan struktur disk untuk merusak informasi partisi, catatan boot, atau area penting lain pada drive sehingga sistem menjadi tidak dapat digunakan.

Blackpoint Cyber menyatakan, "CrownX adalah tahap akhir pemerasan, namun kerusakan yang ditimbulkan jauh melampaui sekadar enkripsi. Sebelum munculnya catatan tebusan, Avalon telah mengumpulkan kredensial, membangun komunikasi command and control (C2), menyiapkan jalur pergerakan lateral, dan melemahkan opsi pemulihan lokal."

Pengaruh Kecerdasan Buatan dalam Pengembangan Avalon

Salah satu temuan penting adalah bahwa Avalon menunjukkan indikasi pengembangan dengan bantuan kecerdasan buatan (AI). Malware ini menggabungkan berbagai komponen tanpa memperhatikan tradecraft canggih atau keamanan operasional secara ketat, padahal membangunnya memerlukan keahlian signifikan.

Hal ini menunjukkan bagaimana AI menurunkan hambatan masuk bagi pengembangan malware, sehingga pelaku dengan sedikit keahlian teknis dapat menciptakan alat yang biasanya membutuhkan waktu dan usaha besar. Dengan kata lain, keberadaan kemampuan tertentu dalam malware tidak lagi menjadi indikator keahlian atau kematangan operasional pelaku ancaman.

"Rantai pembunuhan ini menggambarkan bagaimana umpan bisnis yang familiar dapat berkembang menjadi kerangka kerja multifungsi yang dapat mengumpulkan kredensial, memuat muatan selanjutnya sepenuhnya di memori, dan mengatur berbagai aksi lanjutan hanya dari satu endpoint yang telah dikompromikan," jelas Blackpoint Cyber.

Tren Terbaru: Serangan Ransomware Agentik Berbasis Model Bahasa Besar

Penemuan Avalon muncul bersamaan dengan laporan Sysdig mengenai serangan ransomware agentik pertama yang terdokumentasi secara publik, sepenuhnya digerakkan oleh model bahasa besar (LLM) yang mampu menyesuaikan strategi secara real-time. Pelaku yang dinamai JADEPUFFER tersebut mengakses sistem Langflow yang terbuka di internet melalui kerentanan CVE-2025-3248 dan menjalankan kampanye otomatis adaptif yang berujung pada serangan pemerasan terhadap server basis data produksi korban.

Michael Clark dari Sysdig menyatakan, "Tingkat keahlian yang dibutuhkan untuk menjalankan ransomware kini hanya sebesar biaya menjalankan agen tersebut, dan jika agen itu beroperasi menggunakan kredensial curian lewat LLMjacking, biaya bagi penyerang hampir nol."

Malware AI dengan Serangan Tanpa Kode Menggunakan LLM

Temuan lain yang relevan adalah malware AI yang menggabungkan bot Telegram dengan API LLM publik untuk melakukan serangan tanpa kode. Setelah diaktifkan, malware ini mengirimkan informasi dasar sistem korban ke bot Telegram penyerang dan memasuki loop command-and-control dengan polling API bot setiap 5 detik untuk pesan baru. Hasil eksekusi perintah dikirim kembali menggunakan jalur yang sama.

Keunikan malware ini adalah setiap pesan operator diteruskan ke endpoint API LLM publik "api.groq[.]com/openai/v1/chat/completions" yang menerjemahkan instruksi dalam bahasa alami menjadi perintah shell, sehingga penyerang tidak perlu pengetahuan baris perintah.

Palo Alto Networks Unit 42 menjelaskan, "Lapisan terjemahan LLM ini menggantikan sintaks shell dengan teks biasa. Penyerang mengetik instruksi dalam Telegram, LLM menerjemahkan ke perintah shell, dan korban menjalankan perintah tersebut."

Analisis Redaksi

Menurut pandangan redaksi, kemunculan Avalon sebagai kerangka malware modular yang mengintegrasikan ransomware CrownX menandai perkembangan signifikan dalam evolusi ancaman siber yang semakin kompleks dan canggih. Penggunaan Proton Drive dan file ISO sebagai media penyebaran menunjukkan inovasi teknik phishing yang semakin sulit dideteksi oleh solusi keamanan konvensional.

Lebih jauh, indikasi penggunaan AI dalam pengembangan Avalon menggambarkan tren berbahaya di mana teknologi canggih justru mempermudah pembuatan malware oleh aktor dengan kemampuan terbatas. Ini mengharuskan organisasi dan penyedia keamanan untuk memperbarui strategi deteksi dan respons, termasuk memperkuat pelatihan kesadaran keamanan pengguna dan mengadopsi solusi keamanan yang mampu mendeteksi pola serangan multi-tahap yang kompleks.

Kedepannya, publik dan industri keamanan harus memantau dengan seksama dampak dari integrasi AI dalam malware serta bagaimana pelaku ancaman mengadaptasi model bahasa besar untuk menjalankan serangan otomatis, yang berpotensi menurunkan biaya dan meningkatkan skala serangan secara dramatis.

Untuk informasi lebih lanjut dan pembaruan terkini, kunjungi sumber asli di The Hacker News dan situs berita teknologi terpercaya lainnya.

What's Your Reaction?

Like Like 0
Dislike Dislike 0
Love Love 0
Funny Funny 0
Angry Angry 0
Sad Sad 0
Wow Wow 0
admin As a passionate news reporter, I am fueled by an insatiable curiosity and an unwavering commitment to truth. With a keen eye for detail and a relentless pursuit of stories, I strive to deliver timely and accurate information that empowers and engages readers.
Ad
Ad