In nog een ander exemplaar van dreigingsacteurs die legitieme tools voor kwaadaardige doeleinden herbestemmen, is ontdekt dat hackers een populair rode teaming -tool gebruiken, genaamd Scherpen Om Stealer -malware te verdelen.
Het bedrijf achter de software zei dat een bedrijf dat onlangs Shellter Elite -licenties had gekocht, hun exemplaar heeft gelekt, waardoor kwaadwillende acteurs de tool voor infostealer -campagnes hadden bewapend. Sindsdien is er een update vrijgegeven om het probleem aan te sluiten.
“Ondanks ons rigoureuze controleproces – dat dergelijke incidenten met succes heeft voorkomen sinds de lancering van Shellter Pro Plus in februari 2023 – merken we nu dat we deze ongelukkige situatie aanpakken,” zei het Shellter -projectteam in een verklaring.
Het antwoord komt kort nadat elastische beveiligingslaboratoria een rapport hebben vrijgegeven over hoe het commerciële ontwijkingsraamwerk sinds april 2025 in het wild wordt misbruikt om Lumma Stealer, Rhadamanthys Stealer en Sectoprat (AKA ARECHCLIENT2) te verspreiden.
Shellter is een krachtig hulpmiddel waarmee aanvallende beveiligingsteams kunnen omzeilen van antivirus- en eindpuntdetectie- en response -software die op eindpunten is geïnstalleerd.
Elastic zei dat het meerdere financieel gemotiveerde infontealer -campagnes identificeerde met behulp van Shellter om payloads te verpakken vanaf eind april 2025, met de activiteit die gebruik maakt van Shellter Elite -versie 11.0 uitgebracht op 16 april 2025.
“Shellter-beveiligde monsters maken gebruik van gewoonlijk gebruik van zelfmodificerende shellcode met polymorfe verduistering om zich in legitieme programma’s in te bedden,” zei het bedrijf. “Deze combinatie van legitieme instructies en polymorfe code helpt deze bestanden om statische detectie en handtekeningen te ontwijken, waardoor ze onopgemerkt kunnen blijven.”
Er wordt aangenomen dat sommige van de campagnes, waaronder degenen die Sectoprat en Rhadamanthys Stealer leveren, de tool hebben overgenomen nadat versie 11 half mei te koop was op een populair cybercriminum, met behulp van kunstaas met betrekking tot sponsormogelijkheden die gericht zijn op contentmakers van content, evenals via YouTube-video’s die claimen om gamemods als fortnit-cheats aan te bieden.
De Lumma Stealer -aanvalsketens die himaal gebruiken, wordt daarentegen gezegd dat ze eind april 2025 zijn verspreid via payloads georganiseerd op mediafire.
Met gebarsten versies van kobaltstaking en brute Ratel C4 die eerder hun weg vinden naar de handen van cybercriminelen en natiestaatacteurs, zou het niet helemaal een verrassing zijn als Shellter een soortgelijk traject volgt.
“Ondanks de inspanningen van de commerciële OST -gemeenschap om hun tools voor legitieme doeleinden te behouden, zijn mitigatiemethoden onvolmaakt,” zei Elastic. “Hoewel het Shellter -project in dit geval een slachtoffer is door het verlies van intellectueel eigendom en toekomstige ontwikkelingstijd, moeten andere deelnemers aan de beveiligingsruimte nu strijden met echte bedreigingen die meer capabele tools hanteren.”
Het Shellter -project bekritiseerde echter elastiek voor “prioriteit geven aan publiciteit boven de openbare veiligheid” en voor het handelen op een manier waarvan het zei dat het “roekeloos en onprofessioneel” was door ze niet snel op de hoogte te stellen.
