Shellter Project, fornecedor de um loader de evasão AV/EDR comercial para testes de penetração, confirmou que hackers utilizaram seu produto Shellter Elite em ataques depois que um cliente vazou uma cópia do software.
O abuso continuou por vários meses e, embora pesquisadores de segurança tenham detectado a atividade, Shellter não foi notificado.
O fornecedor destacou que este é o primeiro incidente conhecido de mau uso desde que introduziu seu modelo de licenciamento rigoroso em fevereiro de 2023.
"Descobrimos que uma empresa que havia adquirido recentemente licenças do Shellter Elite vazou sua cópia do software", diz Shellter em um comunicado.
Essa violação levou a que atores maliciosos explorassem a ferramenta para fins prejudiciais, incluindo a entrega de malware infostealer.
Uma atualização, que não alcançaria o "cliente malicioso", foi lançada para abordar o problema.
Shellter Elite é um loader de evasão AV/EDR comercial usado por profissionais de segurança (equipes vermelhas e testadores de penetração) para implementar payloads de forma furtiva dentro de binários Windows legítimos, evadindo ferramentas EDR durante engajamentos de segurança.
O produto apresenta evasão estática por meio de polimorfismo, e evasão em tempo de execução dinâmica via AMSI, ETW, checagem anti-debug/VM, evitação de desengate de pilha de chamadas e módulos, e execução de isca.
Em um relatório no dia 3 de julho, Elastic Security Labs divulgou que múltiplos atores de ameaças têm abusado do Shellter Elite v11.0 para implantar infostealers, incluindo Rhadamanthys, Lumma e Arechclient2.
Pesquisadores da Elastic determinaram que a atividade começou pelo menos desde abril, e o método de distribuição contou com comentários no YouTube e e-mails de phishing.
Com base nos timestamps de licença únicos, os pesquisadores hipotetizaram que os atores de ameaças estavam usando uma única cópia vazada, o que Shellter posteriormente confirmou oficialmente.
Elastic desenvolveu detecções para amostras baseadas na versão 11.0, então payloads criados com essa versão do Shellter Elite agora são detectáveis.
Shellter lançou a versão Elite 11.1, que será distribuída apenas para clientes verificados, excluindo aquele que vazou a versão anterior.
O fornecedor chamou a falta de comunicação dos Laboratórios de Segurança Elastic de "imprudente e não profissional" por não os informar sobre suas descobertas anteriormente.
No entanto, Elastic forneceu a Shellter as amostras necessárias para identificar o cliente ofensor.
A empresa pediu desculpas aos seus "clientes leais" e reafirmou que não colabora com cibercriminosos, expressando disposição para cooperar com a aplicação da lei quando necessário.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...