Stručnjaci za sajberbezbjednost otkrili su zabrinjavajući trend: zlonamjerni akteri počeli su da iskorištavaju SHELLTER, komercijalni okvir za izbjegavanje antivirusa i sistema za detekciju i reagovanje na endpointima (EDR), kako bi isporučivali sofisticirane malverne terete.
Ovaj okvir, prvobitno namijenjen legitimnim operacijama penetracijskog testiranja, od kraja aprila 2025. godine je oružje cyberkriminalaca, što predstavlja značajnu eskalaciju u sposobnostima izbjegavanja koje su na raspolaganju akterima prijetnje.
Nelegitimna upotreba SHELLTER-a ukazuje na zabrinjavajući obrazac u kojem se legitimni alati za ofanzivnu sigurnost preusmjeravaju za zlonamjerne aktivnosti.
Komercijalni okvir, konkretno Elite verzija 11.0 objavljena 16. aprila 2025. godine, pruža napredne mogućnosti koje malveru omogućavaju da zaobiđe moderna sigurnosna rješenja putem sofisticiranog obskurnog koda i tehnika izbjegavanja. Njegovo polimorfno generiranje koda i mogućnost ugrađivanja zlonamjernih tereta u legitimne aplikacije značajno su otežali detekciju.
Istraživači iz Elastic Security Labs identifikovali su više finansijski motiviranih kampanja koje koriste SHELLTER-om zaštićene terete, uključujući isporuku ozloglašenih kradljivaca informacija kao što su LUMMA, RHADAMANTHYS i ARECHCLIENT2. Ove kampanje su primarno ciljale kreatore sadržaja i zajednice igrača putem pažljivo kreiranih phishing e-mailova i zlonamjernih linkova distribuiranih putem YouTube komentara i platformi za dijeljenje datoteka poput MediaFire. Svi analizirani uzorci dijele konzistentan vremenski pečat isteka licence od 2026-04-17 19:17:24.055000, što sugerira upotrebu jedne nelegalno stečene licence.
Strategija distribucije pokazuje sofisticirane taktike socijalnog inženjeringa, gdje napadači oponašaju legitimne brendove, uključujući Udemy, Skillshare, Pinnacle Studio i Duolingo. Žrtve se mame na preuzimanje zlonamjernih arhivskih datoteka koje sadrže izvršne datoteke zaštićene SHELLTER-om, često prerušene kao promotivni sadržaj ili ažuriranja softvera.
Tehnička sofisticiranost SHELLTER-ovih mogućnosti izbjegavanja predstavlja značajan izazov za stručnjake za sajberbezbjednost. Okvir koristi AES-128 CBC enkripciju za zaštitu konačnih tereta, pri čemu se ključevi za enkripciju ugrađuju direktno u malver ili se preuzimaju sa servera pod kontrolom napadača. Ovaj pristup dvostrukog ključa pruža fleksibilnost uz održavanje jake kriptografske zaštite od pokušaja analize.
SHELLTER-ova najistaknutija karakteristika je implementacija polimorfnog umetanja smeća koda, generirajući legitimno izgledajuća uputstva koja ne služe nikakvoj funkcionalnoj svrsi osim zbunjivanja alata za statičku analizu i sistema za detekciju zasnovanih na potpisima. Okvir koristi indirektne sistemske pozive i tehnike oštećenja steka poziva kako bi zaobišao mehanizme hookiranja API-ja u korisničkom načinu rada, koje rješenja EDR-a često primjenjuju. Ove tehnike uključuju pripremu steka s adresama čistih sistemskih pozivnih instrukcija iz ntdll.dll i korištenje povratnih instrukcija za preusmjeravanje toka izvršavanja.
SHELLTER-ovi mehanizmi zaštite memorije dodatno kompliciraju analizu putem kodiranja i dekodiranja kritičnih dijelova koda u vrijeme izvršavanja. SHELLTER kontinuirano mijenja dozvole memorijskih stranica koristeći funkcije poput NtQueryVirtualMemory i NtProtectVirtualMemory, osiguravajući da osjetljivi kod ostane obskuran kada nije aktivno u izvršavanju. Ova dinamička šema zaštite, u kombinaciji s detekcijom virtualiziranog okruženja i identifikacijom alata za debagiranje, stvara višestruke slojeve odbrane od sigurnosnih istraživača i automatizovanih sistema analize.
