Em mais um exemplo de atores de ameaças que reaproveitam ferramentas legítimas para fins maliciosos, descobriu-se que hackers estão explorando uma ferramenta popular de red teaming chamada Shellter para distribuir malware do tipo stealer.
A empresa por trás do software disse que uma empresa que havia comprado recentemente licenças do Shellter Elite vazou sua cópia, levando atores maliciosos a instrumentalizar a ferramenta em campanhas de infostealer.
Desde então, uma atualização foi lançada para corrigir o problema.
"Apesar de nosso rigoroso processo de verificação – que impediu com sucesso tais incidentes desde o lançamento do Shellter Pro Plus em fevereiro de 2023 – agora nos encontramos lidando com essa situação infeliz", disse a equipe do Projeto Shellter em um comunicado.
A resposta vem logo após a Elastic Security Labs lançar um relatório sobre como o framework de evasão comercial está sendo abusado na prática desde abril de 2025 para propagar Lumma Stealer, Rhadamanthys Stealer e SectopRAT (também conhecido como ArechClient2).
O Shellter é uma ferramenta potente que permite às equipes de segurança ofensiva contornar softwares antivírus e de detecção e resposta em endpoints (EDR) instalados nos endpoints.
A Elastic disse que identificou várias campanhas de infostealer motivadas financeiramente usando o SHELLTER para empacotar payloads a partir de final de abril de 2025, com a atividade utilizando a versão 11.0 do Shellter Elite lançada em 16 de abril de 2025.
"Amostras protegidas pelo Shellter empregam comumente shellcode auto-modificável com obfuscação polimórfica para se incrustarem dentro de programas legítimos", disse a empresa.
"Esta combinação de instruções legítimas e código polimórfico ajuda esses arquivos a evadirem detecção estática e assinaturas, permitindo que permaneçam não detectados."
Acredita-se que algumas das campanhas, incluindo aquelas que entregam SectopRAT e Rhadamanthys Stealer, adotaram a ferramenta após a versão 11 ser colocada à venda em um popular fórum de cibercrime em meados de maio, usando iscas relacionadas a oportunidades de patrocínio visando criadores de conteúdo, bem como através de vídeos no YouTube que alegam oferecer mods de jogos como cheats para Fortnite.
Por outro lado, as correntes de ataque do Lumma Stealer que utilizam o Shellter, são ditas terem sido disseminadas através de payloads hospedadas no MediaFire no final de abril de 2025.
Com versões crackeadas do Cobalt Strike e Brute Ratel C4 anteriormente encontrando seu caminho nas mãos de criminosos cibernéticos e atores de estados-nação, não seria totalmente uma surpresa se o Shellter seguisse uma trajetória semelhante.
"Apesar dos melhores esforços da comunidade comercial de OST para reter suas ferramentas para fins legítimos, os métodos de mitigação são imperfeitos", disse a Elastic.
Embora o Projeto Shellter seja uma vítima neste caso através da perda de propriedade intelectual e tempo de desenvolvimento futuro, outros participantes no espaço da segurança devem agora lidar com ameaças reais empunhando ferramentas mais capazes.
O Projeto Shellter, no entanto, criticou a Elastic por "priorizar publicidade em detrimento da segurança pública" e por agir de maneira que disse ser "imprudente e não profissional" por não notificá-los rapidamente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...