Kötü niyetli amaçlar için meşru araçları yeniden tasarlayan tehdit aktörlerinin bir başka örneğinde, bilgisayar korsanlarının popüler bir kırmızı takımlama aracını kullandığı keşfedildi. Kabuklu Stealer kötü amaçlı yazılım dağıtmak için.
Yazılımın arkasındaki şirket, yakın zamanda Shellter Elite Lisansları satın alan bir şirketin kopyalarını sızdırdığını ve kötü amaçlı aktörleri Infostealer kampanyaları için araçları silahlandırmasını istediğini söyledi. Sorunu takmak için bir güncelleme yayınlandı.
Shellter Proje Ekibi yaptığı açıklamada, “Şubat 2023’te Shellter Pro Plus’ın piyasaya sürülmesinden bu yana bu tür olayları başarıyla önleyen titiz veteriner sürecimize rağmen, şimdi kendimizi bu talihsiz durumu ele alırken buluyoruz.” Dedi.
Yanıt, Elastik Güvenlik Laboratuarlarının, Lumma Stealer, Rhadamanthys Stealer ve Sectoprat’ı (AKA ARECHCLIENT2) yaymak için Nisan 2025’ten beri Ticari Kaçma Çerçevesinin Vahşi’de nasıl istismar edildiğine dair bir rapor yayınladıktan kısa bir süre sonra geliyor.
Shellter, saldırgan güvenlik ekiplerinin antivirüs ve uç nokta algılama ve yanıt (EDR) yazılımı uç noktalara yüklenmiş olarak atlamasına izin veren güçlü bir araçtır.
Elastik, Nisan 2025’in sonlarından itibaren Shellter to Paket yüklerini kullanan finansal olarak motive edilmiş birden fazla Infosteer kampanyası belirlediğini ve 16 Nisan 2025’te piyasaya sürülen Shellter Elite Sürüm 11.0’dan yararlandığını söyledi.
Şirket, “Shellter korumalı örnekler genellikle kendilerini meşru programlara gömmek için polimorfik gizlemeli kendi kendine değiştiren kabuk kodu kullanıyor.” Dedi. “Meşru talimatların ve polimorfik kodun bu kombinasyonu, bu dosyaların statik algılama ve imzalardan kaçmasına yardımcı olarak tespit edilmemelerine izin veriyor.”
Sectoprat ve Rhadamanthys stealer’ı teslim edenler de dahil olmak üzere bazı kampanyaların, sürüm 11’in Mayıs ortasında popüler bir siber suç forumunda satışa çıktıktan sonra, içerik yaratıcıları hedefleyen sponsorluk fırsatları ile ilgili cazibeler kullanarak, Fortnite hile gibi oyun modları sunduğunu iddia eden youtube videoları kullanarak kabul edildiğine inanılıyor.
Lumma Stealer Saldırı Zincirleri, Shelter’dan yararlanan Saldırı Zincirlerinin, Nisan 2025’in sonlarında Mediafire’da barındırılan yükler yoluyla yayıldığı söyleniyor.
Kobalt Strike ve Brute Ratel C4’ün çatlak versiyonları daha önce siber suçluların ve ulus-devlet aktörlerinin eline geçerek, Shellter benzer bir yörüngeyi takip ederse tamamen sürpriz olmazdı.
Elastik, “Ticari OST topluluğunun araçlarını meşru amaçlar için koruma çabalarına rağmen, hafifletme yöntemleri kusurludur.” Dedi. Diyerek şöyle devam etti: “Shellter Projesi bu durumda fikri mülkiyet kaybı ve gelecekteki kalkınma süresi yoluyla kurban olmasına rağmen, güvenlik alanındaki diğer katılımcılar artık daha yetenekli araçlara sahip gerçek tehditlerle mücadele etmelidir.”
Ancak Shellter Projesi, Elastik’i “kamu güvenliği üzerindeki tanıtım önceliklendirmesi” ve hızlı bir şekilde bilgilendirerek “pervasız ve profesyonel olmayan” olduğunu söylediği şekilde hareket ettiği için eleştirdi.