Cyber security istraživači su otkrili zabrinjavajući razvoj događaja jer su maliciozni hakeri počeli eksploatisati SHELLTER, komercijalni okvir za izbjegavanje antivirusa i endpoint detection response (EDR), za implementaciju sofisticiranih malver payload-ova.
Ovaj okvir, prvobitno dizajniran za legitimne operacije penetracijskog testiranja, od kraja aprila 2025. godine je oružje koje koriste cyber kriminalci, što predstavlja značajnu eskalaciju u mogućnostima izbjegavanja dostupnim za aktere prijetnji.
Nelegalno korištenje SHELLTER-a predstavlja zabrinjavajući trend gdje se legitimni alati za ofanzivnu sigurnost ponovo koriste za maliciozne aktivnosti.
Komercijalni okvir, konkretno Elite verzija 11.0 objavljena 16. aprila 2025., pruža napredne mogućnosti koje omogućavaju malveru da zaobiđe moderna sigurnosna rješenja kroz sofisticirane tehnike obskurnosti i izbjegavanja.
Njegovo polimorfno generisanje koda i sposobnost ugradnje malver payload-ova unutar legitimnih aplikacija značajno su otežali detekciju.
Istraživači Elastic Security Labs identifikovali su višestruke finansijski motivisane kampanje koje koriste SHELLTER-zaštićene payload-ove, uključujući implementaciju ozloglašenih information stealera kao što su LUMMA, RHADAMANTHYS i ARECHCLIENT2.
Ove kampanje su primarno ciljale kreatore sadržaja i gaming zajednice putem pažljivo kreiranih phishing e-mailova i zlonamjernih linkova distribuiranih putem YouTube komentara i platformi za dijeljenje datoteka poput MediaFire.
Svi analizirani uzorci dijele dosljedan vremenski pečat isteka licence od 2026-04-17 19:17:24.055000, što ukazuje na korištenje jedne nelegalno stečene licence.
Strategija distribucije demonstrira sofisticirane taktike socijalnog inženjeringa, gdje napadači oponašaju legitimne brendove uključujući Udemy, Skillshare, Pinnacle Studio i Duolingo.
Žrtve se mame na preuzimanje malicioznih arhivskih datoteka koje sadrže SHELLTER-zaštićene izvršne datoteke, često prerušene kao promotivni sadržaj ili ažuriranja softvera.
Tehnička sofisticiranost SHELLTER-ovih mogućnosti izbjegavanja predstavlja značajan izazov za profesionalce u oblasti cybersecurity-a.
Okvir koristi AES-128 CBC enkripciju za zaštitu konačnih payload-ova, pri čemu su enkripcijski ključevi ili ugrađeni direktno unutar malvera ili preuzeti sa servera pod kontrolom napadača.
Ovaj pristup dvostrukog ključa pruža fleksibilnost uz održavanje jake kriptografske zaštite protiv napora analize.
Najistaknutija karakteristika SHELLTER-a je njegova implementacija polimorfne umetanja junk koda, generišući legitimno izgledajuće instrukcije koje ne služe nikakvoj funkcionalnoj svrsi osim zbunjivanja alata za statičku analizu i sistema za detekciju baziranih na potpisima.
Okvir koristi indirektne sistemske pozive i tehnike oštećenja stack-a poziva kako bi zaobišao mehanizme za hookovanje korisničkog API-a koje EDR rješenja često koriste.
Ove tehnike uključuju pripremu stack-a sa adresama čistih sistemskih poziva iz ntdll.dll i korištenje instrukcija povratka za preusmjeravanje toka izvršavanja.
SHELLTER-ovi mehanizmi zaštite memorije dodatno komplikuju analizu kroz runtime kodiranje i dekodiranje kritičnih dijelova koda.
Okvir kontinuirano mijenja dozvole memorijskih stranica koristeći funkcije poput NtQueryVirtualMemory i NtProtectVirtualMemory, osiguravajući da osjetljivi kod ostane obskurnim kada nije aktivno u izvršenju.
Ova dinamička shema zaštite, u kombinaciji sa detekcijom virtualizovanog okruženja i identifikacijom alata za debugovanje, stvara višestruke slojeve odbrane protiv sigurnosnih istraživača i automatizovanih sistema analize.
