Istraživači iz oblasti sajber sigurnosti otkrili su zabrinjavajući razvoj događaja – zlonamjerni akteri počeli su iskorištavati SHELLTER, komercijalni okvir za izbjegavanje antivirusne zaštite i sistema za otkrivanje i reakciju na endpointovima (EDR), kako bi implementirali sofisticirane malver payload-e.
Ovaj okvir, prvobitno dizajniran za legitimne operacije penetracijskog testiranja, od kraja aprila 2025. godine koriste cyberkriminalci, što predstavlja značajnu eskalaciju u mogućnostima izbjegavanja koje su dostupne akterima prijetnji. Nelegalno korištenje SHELLTER-a ukazuje na zabrinjavajući trend prenamjene legitimnih alata za ofanzivnu sigurnost u zlonamjerne aktivnosti.
Komercijalni okvir, specifično Elite verzija 11.0 objavljena 16. aprila 2025. godine, pruža napredne mogućnosti koje omogućavaju malveru da zaobiđe moderne sigurnosne rješenja putem sofisticiranih tehnika obskurnosti i izbjegavanja. Njegovo generiranje polimorfnog koda i mogućnost ugrađivanja zlonamjernih payload-a unutar legitimnih aplikacija značajno otežavaju njihovo otkrivanje.
Istraživači iz Elastic Security Labs identificirali su više finansijski motivisanih kampanja koje koriste SHELLTER-om zaštićene payload-e, uključujući implementaciju poznatih kradljivaca informacija kao što su LUMMA, RHADAMANTHYS i ARECHCLIENT2. Ove kampanje su primarno ciljale kreatore sadržaja i gaming zajednice putem pažljivo osmišljenih phishing mejlova i zlonamjernih linkova distribuiranih putem YouTube komentara i platformi za dijeljenje datoteka poput MediaFire.
Svi analizirani uzorci dijele dosljedan vremenski pečat isteka licence od 2026-04-17 19:17:24.055000, što sugerira korištenje jedne ilegalno stečene licence. Strategija distribucije demonstrira sofisticirane taktike socijalnog inženjeringa, gdje napadači imitiraju legitimne brendove uključujući Udemy, Skillshare, Pinnacle Studio i Duolingo. Žrtve se mame na preuzimanje zlonamjernih arhivskih datoteka koje sadrže SHELLTER-om zaštićene izvršne datoteke, često prerušene kao promotivni sadržaj ili ažuriranja softvera.
Tehnička sofisticiranost SHELLTER-ovih mogućnosti izbjegavanja predstavlja značajan izazov za profesionalce u oblasti sajber sigurnosti. Okvir koristi AES-128 CBC enkripciju za zaštitu konačnih payload-a, sa ključevima za enkripciju koji su ili ugrađeni direktno u malver ili preuzeti sa servera kontroliranih od strane napadača. Ovaj dvostruki pristup ključevima pruža fleksibilnost uz održavanje jake kriptografske zaštite protiv napora analize.
Najznačajnija karakteristika SHELLTER-a je implementacija polimorfnog umetanja smeća koda, generirajući upute koje izgledaju legitimno, ali ne služe nikakvoj funkcionalnoj svrsi osim zbunjivanja alata za statičku analizu i sistema za detekciju baziranih na potpisima. Okvir koristi indirektne sistemske pozive i tehnike korupcije pozivnog steka za zaobilaženje mehanizama za hvatanje API-ja u korisničkom načinu rada, koje EDR rješenja često koriste. Ove tehnike uključuju pripremu steka sa adresama čistih sistemskih poziva iz ntdll.dll i korištenje povratnih instrukcija za preusmjeravanje toka izvršavanja.
SHELLTER-ovi mehanizmi zaštite memorije dodatno otežavaju analizu putem kodiranja i dekodiranja ključnih dijelova koda u toku izvršavanja. Okvir kontinuirano mijenja dozvole stranica memorije koristeći funkcije poput NtQueryVirtualMemory i NtProtectVirtualMemory, osiguravajući da osjetljivi kod ostane obskuran kada nije aktivno u upotrebi. Ova dinamička šema zaštite, u kombinaciji sa detekcijom virtualiziranog okruženja i identifikacijom alata za debug, stvara višestruke slojeve odbrane protiv istraživača sigurnosti i automatizovanih sistema analize.