Istraživači iz oblasti sajber bezbjednosti otkrili su zabrinjavajući razvoj događaja, jer su hakeri počeli da iskorištavaju SHELLTER, komercijalni okvir za izbjegavanje antivirusa i EDR (Endpoint Detection and Response) sistema, za implementaciju sofisticiranih malicioznih tereta.
Ovaj okvir, prvobitno dizajniran za legitimne operacije penetracijskog testiranja, od kraja aprila 2025. godine koriste sajber kriminalci, što predstavlja značajnu eskalaciju mogućnosti izbjegavanja sistema za sajber prijetnje.
Nelegalno korišćenje SHELLTER-a ukazuje na uznemiravajući trend prenamjene legitimnih alata za ofanzivnu bezbjednost u maliciozne svrhe.
Komercijalni okvir, konkretno Elite verzija 11.0 objavljena 16. aprila 2025. godine, pruža napredne mogućnosti koje omogućavaju malicioznom softveru da zaobiđe savremena bezbjednosna rješenja kroz sofisticirane tehnike obfuskacije i izbjegavanja.
Njegovo polimorfno generisanje koda i sposobnost ugrađivanja malicioznih tereta u legitimne aplikacije značajno otežavaju detekciju.
Istraživači iz Elastic Security Labs identifikovali su više finansijski motivisanih kampanja koje koriste SHELLTER-om zaštićene terete, uključujući implementaciju zloglasnih kradljivaca informacija kao što su LUMMA, RHADAMANTHYS i ARECHCLIENT2.
Ove kampanje su primarno ciljale kreatore sadržaja i zajednice gejmera putem pažljivo oblikovanih phishing mejlova i malicioznih linkova distribuiranih putem YouTube komentara i platformi za dijeljenje fajlova poput MediaFire.
Svi analizirani uzorci dijele dosljedan vremenski pečat isteka licence 2026-04-17 19:17:24.055000, što ukazuje na korišćenje jedne nelegalno stečene licence.
Strategija distribucije demonstrira sofisticirane taktike socijalnog inženjeringa, gdje napadači oponašaju legitimne brendove uključujući Udemy, Skillshare, Pinnacle Studio i Duolingo.
Žrtve se mame na preuzimanje malicioznih arhivskih fajlova koji sadrže izvršne fajlove zaštićene SHELLTER-om, često prerušene kao promotivni sadržaj ili ažuriranja softvera.
Tehnička sofisticiranost SHELLTER-ovih mogućnosti izbjegavanja predstavlja značajan izazov za profesionalce u oblasti sajber bezbjednosti.
Okvir koristi AES-128 CBC enkripciju za zaštitu konačnih tereta, pri čemu su enkripcijski ključevi ugrađeni direktno u maliciozni softver ili preuzeti sa servera pod kontrolom napadača.
Ovaj dvostruki pristup ključevima pruža fleksibilnost uz održavanje jake kriptografske zaštite od pokušaja analize.
SHELLTER-ova najistaknutija karakteristika je implementacija polimorfne umetanja smeća u kod, generišući instrukcije koje izgledaju legitimno, ali ne služe nikakvoj funkcionalnoj svrsi osim zbunjivanja alata za statičku analizu i sistema za detekciju zasnovanih na potpisima.
Okvir koristi indirektne sistemske pozive i tehnike oštećenja stacka poziva kako bi zaobišao mehanizme za API hooking u korisničkom modu koje često koriste EDR rješenja.
Ove tehnike uključuju pripremu stacka s adresama čistih sistemskih poziva iz ntdll.dll i korišćenje instrukcija povratka za preusmjeravanje toka izvršavanja.
Mehanizmi zaštite memorije u okviru dodatno komplikuju analizu putem kodiranja i dekodiranja kritičnih sekcija koda u realnom vremenu.
SHELLTER kontinuirano mijenja dozvole stranica memorije koristeći funkcije poput NtQueryVirtualMemory i NtProtectVirtualMemory, osiguravajući da osjetljivi kod ostane obfuskovan kada nije aktivno izvršavan.
Ova dinamička šema zaštite, u kombinaciji sa detekcijom virtuelnog okruženja i identifikacijom alata za debugovanje, stvara višestruke slojeve odbrane od istraživača bezbjednosti i automatizovanih sistema za analizu.
