Istraživači iz oblasti sajberbezbjednosti otkrili su zabrinjavajući razvoj događaja, jer su zlonamjerni akteri počeli da iskorištavaju SHELLTER, komercijalni okvir za izbjegavanje antivirusa i EDR (Endpoint Detection and Response) sistema, za implementaciju sofisticiranih zlonamjernih tereta.
Ovaj okvir, prvobitno dizajniran za legitimne operacije penetracijskog testiranja, od kraja aprila 2025. godine koriste cyberkriminalci, što predstavlja značajnu eskalaciju mogućnosti izbjegavanja sistema za sajber prijetnje.
Nelegalno korištenje SHELLTER-a ukazuje na uznemiravajući trend prenamjene legitimnih alata za ofanzivnu sigurnost u zlonamjerne svrhe.
Komercijalni okvir, konkretno Elite verzija 11.0 objavljena 16. aprila 2025. godine, pruža napredne mogućnosti koje omogućavaju zlonamjernom softveru da zaobiđe savremena sigurnosna rješenja kroz sofisticirane tehnike obfuskacije i izbjegavanja.
Njegovo polimorfno generisanje koda i sposobnost ugrađivanja zlonamjernih tereta u legitimne aplikacije značajno otežavaju detekciju.
Istraživači iz Elastic Security Labs identifikovali su više finansijski motivisanih kampanja koje koriste SHELLTER-om zaštićene terete, uključujući implementaciju zloglasnih kradljivaca informacija kao što su LUMMA, RHADAMANTHYS i ARECHCLIENT2.
Ove kampanje su primarno ciljale kreatore sadržaja i zajednice igrača putem pažljivo oblikovanih phishing mejlova i zlonamjernih linkova distribuiranih putem YouTube komentara i platformi za dijeljenje datoteka poput MediaFire.
Svi analizirani uzorci dijele dosljedan vremenski pečat isteka licence 2026-04-17 19:17:24.055000, što ukazuje na korištenje jedne nelegalno stečene licence.
Strategija distribucije demonstrira sofisticirane taktike socijalnog inženjeringa, gdje napadači oponašaju legitimne brendove uključujući Udemy, Skillshare, Pinnacle Studio i Duolingo.
Žrtve se mame na preuzimanje zlonamjernih arhivskih datoteka koje sadrže izvršne datoteke zaštićene SHELLTER-om, često prerušene kao promotivni sadržaj ili ažuriranja softvera.
Tehnička sofisticiranost SHELLTER-ovih mogućnosti izbjegavanja predstavlja značajan izazov za profesionalce u oblasti sajberbezbjednosti.
Okvir koristi AES-128 CBC enkripciju za zaštitu konačnih tereta, pri čemu su enkripcijski ključevi ugrađeni direktno u zlonamjerni softver ili preuzeti sa servera pod kontrolom napadača.
Ovaj dvostruki pristup ključevima pruža fleksibilnost uz održavanje jake kriptografske zaštite od pokušaja analize.
SHELLTER-ova najistaknutija karakteristika je implementacija polimorfne umetanja smeća u kod, generišući instrukcije koje izgledaju legitimno, ali ne služe nikakvoj funkcionalnoj svrsi osim zbunjivanja alata za statičku analizu i sistema za detekciju zasnovanih na potpisima.
Okvir koristi indirektne sistemske pozive i tehnike oštećenja stacka poziva kako bi zaobišao mehanizme za API hooking u korisničkom modu koje često koriste EDR rješenja.
Ove tehnike uključuju pripremu stacka s adresama čistih sistemskih poziva iz ntdll.dll i korištenje instrukcija povratka za preusmjeravanje toka izvršavanja.
Mehanizmi zaštite memorije u okviru dodatno komplikuju analizu putem kodiranja i dekodiranja kritičnih sekcija koda u realnom vremenu.
SHELLTER kontinuirano mijenja dozvole stranica memorije koristeći funkcije poput NtQueryVirtualMemory i NtProtectVirtualMemory, osiguravajući da osjetljivi kod ostane obfuskovan kada nije aktivno izvršavan.
Ova dinamička šema zaštite, u kombinaciji sa detekcijom virtuelnog okruženja i identifikacijom alata za debugiranje, stvara višestruke slojeve odbrane od istraživača sigurnosti i automatizovanih sistema za analizu.