Avalon-Malware: Neue Ransomware nutzt KI und umgeht neun Sicherheitstools
04.07.2026 - 14:46:16 | boerse-global.de
Cybersicherheitsforscher haben eine hochentwickelte neue Schadsoftware namens Avalon entdeckt, die Unternehmen mit mehrstufigen Phishing-Kampagnen angreift. Das Framework wurde speziell entwickelt, um die CrownX-Ransomware einzuschleusen, gleichzeitig Zugangsdaten zu stehlen und sich lateral im Netzwerk auszubreiten.
Tarnung als dringende Rechtsdokumente
Die Angriffskette beginnt mit einer gefälschten E-Mail, die angeblich eilige rechtliche Unterlagen enthält. Die Empfänger werden aufgefordert, eine Datei von Proton Drive herunterzuladen – einem legitimen Cloud-Dienst, der die Phishing-Attacke zunächst unverdächtig erscheinen lässt. Im heruntergeladenen Archiv verbirgt sich ein ISO-Disk-Image.
Im Inneren des Images wartet eine Verknüpfungsdatei (.lnk), die eine komplexe Ausführungskette anstößt. Dabei kommen ausschließlich legitime Windows-Komponenten zum Einsatz: MSBuild.exe führt eine .NET-Assembly aus, die gezielt die Ereignisüberwachung von Windows (ETW) deaktiviert. Dieser Trick sorgt dafür, dass der anschließende Download und die Ausführung des Avalon-Frameworks von gängigen Überwachungstools unbemerkt bleiben.
Doppelte Gefahr: Verschlüsselung und Datendiebstahl
Ist Avalon erst einmal auf einem System installiert, entfaltet es seine volle Wirkung. Die CrownX-Ransomware nutzt die AES-GCM-Verschlüsselung und zielt speziell auf Wiederherstellungs- und Backupsysteme ab. Um jede Rettung der verschlüsselten Daten zu verhindern, löscht die Malware die Volumenschattenkopien (VSS) und kann sogar Festplatten beschädigen.
Doch Avalon ist weit mehr als nur Erpressungssoftware. Das Framework fungiert als umfassendes Werkzeug für Cyberspionage und Finanzdiebstahl:
- Credential Harvesting: Abgreifen von Anmeldedaten aus verschiedenen Anwendungen
- Kryptowährungsdiebstahl: Identifizieren und Extrahieren von Daten aus digitalen Wallets
- Lateral Movement: Werkzeuge zur Ausbreitung im gesamten Netzwerk
- Anti-Forensik: Mechanismen zur Verschleierung der eigenen Präsenz
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. 7 psychologische Schwachstellen jetzt entlarven
KI-gestützte Entwicklung als neuer Trend
Die Entwickler von Avalon haben das Framework gezielt optimiert, um die Erkennung durch führende Sicherheitsplattformen zu umgehen. Betroffen sind unter anderem Microsoft Defender, CrowdStrike, SentinelOne, Sophos, Elastic, FortiEDR, ESET, McAfee und Bitdefender.
Sicherheitsanalysten gehen davon aus, dass die hochkomplexe Codebasis mit Hilfe Künstlicher Intelligenz entwickelt wurde. Dieser Trend zeigt sich auch bei anderen aktuellen Bedrohungen: Erst Anfang Juli wurde die JADEPUFFER-Ransomware entdeckt, die als einer der ersten Erpressungstrojaner gilt, der Large Language Models (LLMs) zur Automatisierung von Infektionsprozessen einsetzt.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-E-Book zur IT-Sicherheit herunterladen
Phishing-Industrie im Wandel
Die Entdeckung von Avalon reiht sich ein in eine Serie fortsrittlicher, oft KI-gestützter Phishing-Infrastrukturen. Erst am gestrigen Freitag enthüllten Forscher die ARToken-Plattform – einen Phishing-as-a-Service-Dienst, der auf den Diebstahl von Microsoft-365-Authentifizierungstoken spezialisiert ist. ARToken nutzt ein React-basiertes Bedienfeld mit über 80 API-Endpunkten, um die Multi-Faktor-Authentifizierung (MFA) durch Device-Code-Phishing zu umgehen.
Zudem wurde die Bedrohungsgruppe Armored Likho (auch bekannt als Eagle Werewolf) dabei beobachtet, wie sie Regierungs- und Energieunternehmen in Russland, Brasilien und Kasachstan angreift. Die Gruppe setzt den Python-basierten BusySnake-Stealer ein, der über Spear-Phishing-Archive verbreitet wird und Sicherheitslücken wie CVE-2025-9491 ausnutzt.
