Deep Web
Πώς οι χάκερ χρησιμοποιούν το Shellter για κακόβουλες επιθέσεις
Οι χάκερ εκμεταλλεύονται το Shellter για κακόβουλες επιθέσεις, διανέμοντας Lumma Stealer και SectopRAT μέσω διαρροής άδειας χρήσης.
Η διαρροή άδειας του Shellter και οι συνέπειές της
Σε μια ακόμη περίπτωση όπου κακόβουλοι χρήστες αξιοποιούν νόμιμα εργαλεία για κακόβουλους σκοπούς, αποκαλύφθηκε ότι χάκερ εκμεταλλεύονται το δημοφιλές εργαλείο Shellter για τη διανομή κακόβουλου λογισμικού τύπου stealer. Η εταιρεία πίσω από το λογισμικό ανέφερε ότι μια εταιρεία που είχε πρόσφατα αγοράσει άδειες Shellter Elite διέρρευσε το αντίγραφο της, επιτρέποντας σε κακόβουλους χρήστες να χρησιμοποιήσουν το εργαλείο για καμπάνιες infostealer. Έκτοτε, κυκλοφόρησε μια ενημέρωση για την επίλυση του προβλήματος.
Η αντίδραση της ομάδας του Shellter
“Παρά τη σχολαστική διαδικασία ελέγχου μας – η οποία έχει αποτρέψει επιτυχώς τέτοια περιστατικά από την κυκλοφορία του Shellter Pro Plus τον Φεβρουάριο του 2023 – τώρα βρισκόμαστε αντιμέτωποι με αυτή την ατυχή κατάσταση,” δήλωσε η ομάδα του Shellter Project σε ανακοίνωσή της. Η απάντηση αυτή ήρθε λίγο μετά την έκθεση της Elastic Security Labs για την κακόβουλη χρήση του εμπορικού πλαισίου αποφυγής από τον Απρίλιο του 2025 για τη διάδοση των Lumma Stealer, Rhadamanthys Stealer και SectopRAT.
Η λειτουργία του Shellter και οι καμπάνιες κακόβουλου λογισμικού
Το Shellter είναι ένα ισχυρό εργαλείο που επιτρέπει στις ομάδες επιθετικής ασφάλειας να παρακάμπτουν λογισμικά antivirus και συστήματα ανίχνευσης και απόκρισης (EDR) εγκατεστημένα σε τερματικά. Η Elastic ανέφερε ότι εντόπισε πολλές καμπάνιες infostealer με οικονομικά κίνητρα που χρησιμοποιούν το Shellter για τη συσκευασία των payloads, ξεκινώντας από τα τέλη Απριλίου 2025, με τη δραστηριότητα να αξιοποιεί την έκδοση Shellter Elite 11.0 που κυκλοφόρησε στις 16 Απριλίου 2025.
Η τεχνική των κακόβουλων αρχείων
“Τα δείγματα που προστατεύονται με Shellter συνήθως χρησιμοποιούν αυτοτροποποιούμενο shellcode με πολυμορφική απόκρυψη για να ενσωματωθούν σε νόμιμα προγράμματα,” ανέφερε η εταιρεία. “Αυτός ο συνδυασμός νόμιμων εντολών και πολυμορφικού κώδικα βοηθά αυτά τα αρχεία να αποφεύγουν την ανίχνευση και τις υπογραφές, επιτρέποντάς τους να παραμένουν αόρατα.”
Η διάδοση των Lumma Stealer και SectopRAT
Πιστεύεται ότι ορισμένες από τις καμπάνιες, συμπεριλαμβανομένων αυτών που διανέμουν το SectopRAT και το Rhadamanthys Stealer, υιοθέτησαν το εργαλείο μετά την κυκλοφορία της έκδοσης 11 σε ένα δημοφιλές φόρουμ κυβερνοεγκλήματος στα μέσα Μαΐου, χρησιμοποιώντας δολώματα που σχετίζονται με ευκαιρίες χορηγίας για δημιουργούς περιεχομένου καθώς και μέσω βίντεο στο YouTube που ισχυρίζονται ότι προσφέρουν mods για παιχνίδια όπως τα cheats του Fortnite. Αντίθετα, οι αλυσίδες επιθέσεων του Lumma Stealer που αξιοποιούν το Shellter, φέρεται να διανεμήθηκαν μέσω payloads που φιλοξενούνται στο MediaFire στα τέλη Απριλίου 2025.
Η απειλή από cracked εκδόσεις εργαλείων
Με τις cracked εκδόσεις των Cobalt Strike και Brute Ratel C4 να έχουν ήδη βρεθεί στα χέρια κυβερνοεγκληματιών και κρατικών παραγόντων, δεν θα ήταν εντελώς έκπληξη αν το Shellter ακολουθήσει παρόμοια πορεία. “Παρά τις καλύτερες προσπάθειες της εμπορικής κοινότητας OST να διατηρήσει τα εργαλεία τους για νόμιμους σκοπούς, οι μέθοδοι μετριασμού είναι ατελείς,” ανέφερε η Elastic. “Αν και το Shellter Project είναι θύμα σε αυτή την περίπτωση λόγω απώλειας πνευματικής ιδιοκτησίας και μελλοντικού χρόνου ανάπτυξης, άλλοι συμμετέχοντες στον χώρο της ασφάλειας πρέπει τώρα να αντιμετωπίσουν πραγματικές απειλές με πιο ικανές εργαλεία.”
Η κριτική προς την Elastic
Ωστόσο, το Shellter Project επέκρινε την Elastic για “προτεραιότητα στη δημοσιότητα έναντι της δημόσιας ασφάλειας” και για ενέργειες που χαρακτήρισε “απερίσκεπτες και αντιεπαγγελματικές” επειδή δεν τους ειδοποίησαν γρήγορα.
