Новости · Безопасность файлов

Avalon: вредонос прячут в ISO-образе и ярлыке LNK

Исследователи описали новый вредоносный фреймворк Avalon со встроенным вирусом-шифровальщиком CrownX. Заражение начинается не с привычного вложения .exe, а с образа диска .iso и ярлыка .lnk, спрятанных в защищённом паролем архиве. Приём рассчитан на то, чтобы проскочить проверку почты — и это ещё один повод по-новому смотреть на «безобидные» файлы-контейнеры.

9 июля 2026 Редакция LoadFile Чтение 6 мин
Образ диска ISO, из которого выходит вредоносный ярлык — схема атаки через файл-контейнер

Коротко: команда Blackpoint Cyber раскрыла модульный вредонос Avalon с шифровальщиком CrownX. Жертву заманивают письмом с «юридическим документом» и ссылкой на защищённый архив в облаке; внутри — ISO-образ с ярлыком .lnk, который через системную утилиту MSBuild запускает код прямо в памяти. Финальная стадия — CrownX — целенаправленно сносит теневые копии и бэкапы. Главная защита: не монтировать ISO из писем и держать резервные копии офлайн.

Что произошло

В начале июля 2026 года группа Adversary Pursuit Group (APG) компании Blackpoint Cyber опубликовала разбор ранее неизвестного вредоносного фреймворка под названием Avalon. Это не один вирус, а модульная «платформа»: она умеет красть учётные данные, закрепляться в системе, распространяться по сети, давать удалённый доступ и — на финальной стадии — запускать вымогатель-шифровальщик, который внутри кода назван CrownX.

Для нас в этой истории важен не столько сам вымогатель, сколько способ доставки. Он построен целиком на манипуляции файлами: злоумышленники обошлись без явных исполняемых вложений и собрали цепочку из форматов, которым пользователи привыкли доверять, — архива, образа диска и ярлыка. Именно это делает кейс показательным примером для всех, кто регулярно получает файлы по почте.

Как устроена атака: от письма до образа диска

Цепочка заражения, которую описали исследователи, разворачивается в несколько шагов:

  1. Письмо-приманка. Жертва получает сообщение, замаскированное под юридический документ. В самом письме вложения нет — есть только ссылка на «защищённый» архив, размещённый в легальном облачном сервисе (в разобранном случае — Proton Drive). Пароль к архиву обычно указан в тексте письма.
  2. Архив с образом диска. Внутри скачанного архива лежит не документ, а файл образа диска — Secure_Document_CA-283505_pdf.iso. Имя подобрано так, чтобы выглядеть как отсканированный PDF.
  3. Монтирование ISO. Двойной клик — и Windows подключает образ как отдельный диск. В открывшейся «папке» пользователь видит файл с иконкой PDF и папку-обманку с названием вроде «Mimecast Secure File Logs», имитирующую систему безопасной почты.
  4. Ярлык вместо документа. Мнимый PDF на деле оказывается ярлыком Secure Document CA-283505.pdf.lnk. По клику он запускает не просмотрщик, а командную строку.
  5. Запуск через MSBuild. Ярлык вызывает cmd.exe, а следом — легитимную системную утилиту MSBuild.exe, которая компилирует и выполняет вложенный код прямо в оперативной памяти, не создавая отдельного «вирусного» файла на диске.

Дальше в память подгружается основной модуль Avalon — и начинается основная фаза атаки. Ключевая идея всей схемы: до последнего момента на диске нет ни одного явно вредоносного исполняемого файла, а те форматы, что участвуют в цепочке (ISO, LNK), формально не считаются опасными.

Почему ISO и LNK — удобное прикрытие

Выбор форматов здесь не случаен. Образ диска ISO — это файл-контейнер: обычно в нём хранят дистрибутивы программ и операционных систем (подробнее — в нашем разборе, чем открыть ISO). У этого формата есть неудобное для защиты свойство: современные Windows и macOS монтируют образ штатными средствами в пару кликов, а почтовые фильтры и «метка происхождения из интернета» (Mark-of-the-Web) часто не переносятся на файлы внутри образа. Проще говоря, содержимое ISO нередко теряет пометку «скачано из сети» — и система задаёт меньше вопросов.

Ярлык .lnk — второй элемент маскировки. Пользователь видит имя и иконку «документа», но за ними скрыта произвольная команда запуска. Такой ярлык можно оформить под PDF, папку или картинку, и Windows по умолчанию не показывает расширение .lnk — жертва думает, что открывает файл, а на деле выполняет команду.

!
Почему это важно для обычного пользователя

Помещая вредонос внутрь ISO- и LNK-файлов, а не в прямое вложение, атакующие обходят сразу два рубежа: проверку почтовым шлюзом и предупреждение системы о запуске файла из интернета. Внешне вы «просто открываете присланный документ» — а запускаете чужой код.

Приём вписывается в общий тренд последних лет: злоумышленники всё чаще прячут полезную нагрузку в привычных форматах. Мы уже разбирали похожую логику на примере опасных вложений в RAR, SVG и PDF — Avalon добавляет к этому списку связку «архив + образ диска + ярлык».

CrownX бьёт по резервным копиям

Отдельно исследователи отмечают, что финальный модуль-шифровальщик CrownX спроектирован так, чтобы лишить жертву возможности восстановиться самостоятельно. Перед шифрованием он целенаправленно ломает механизмы восстановления Windows: останавливает службу теневого копирования (VSS), удаляет уже созданные теневые копии, правит в реестре настройки восстановления и портит данные среды восстановления (WinRE). Зашифрованным файлам, по данным разбора, приписывается расширение .8hn2yc.

По наблюдениям Blackpoint Cyber, атака нацелена в первую очередь на инфраструктуру резервного копирования — упоминаются системы вроде Veeam, Acronis, NetApp, Synology, Hyper-V и vCenter. Логика простая: если у компании нет уцелевшего бэкапа, вероятность выплаты выкупа заметно выше. Это ещё раз подтверждает старое правило: резервная копия, до которой может дотянуться вредонос, — уже не совсем резервная копия.

Что это значит для работы с файлами

Даже если вы не администратор корпоративной сети, выводы из этой истории простые и применимые каждый день. Опасность несёт не тип файла сам по себе, а его происхождение и то, что он делает при открытии. ISO, LNK, RAR, PDF — нейтральные форматы; вредоносными их делает контекст: неожиданное письмо, ссылка на облако, пароль в теле сообщения, необходимость «просто открыть документ».

  • Настороженно относитесь к образам дисков из почты. Легальный контрагент крайне редко присылает договор или счёт внутри .iso. Пришёл образ диска под видом документа — это сильный повод не открывать его вовсе.
  • Включите показ расширений файлов. Тогда ярлык .lnk, замаскированный под .pdf, будет видно сразу. В Проводнике: «Вид» → «Показывать» → «Расширения имён файлов».
  • Пароль в письме — не признак безопасности. Архив под паролем часто используют именно для того, чтобы антивирус на почтовом сервере не смог заглянуть внутрь. Это не «забота о конфиденциальности», а способ обойти проверку.
  • Держите резервные копии офлайн. Бэкап на постоянно подключённом диске или в сетевой папке шифровальщик уничтожит вместе с остальными данными. Хотя бы одна копия должна быть отключена от системы физически.

Если сомневаетесь в присланном файле, не открывайте его наугад: сначала проверьте файл на вирусы, а общие правила безопасной работы с загрузками мы собрали в разделе безопасность файлов — как обращаться с вложениями, архивами и образами дисков. Тем, кто регулярно работает с архивами, пригодится и разбор чем открыть RAR: понимание форматов помогает быстрее отличить обычный файл от приманки.

Источники

Читайте также