Злоумышленники используют утечку лицензии на инструмент для тестирования на проникновение Shellter Elite (версия 11.0), распространяя опасные вредоносы. По данным Elastic Security Labs, в дикой природе замечены Lumma Stealer, Rhadamanthys Stealer и SectopRAT (он же ArechClient2). Источником утечки стала компания, недавно купившая лицензии Shellter Elite.
Shellter – мощный инструмент для «красных команд», предназначенный для обхода антивирусов (AV) и систем обнаружения и реагирования на конечных точках (EDR). Его защищенные образцы применяют самоизменяющийся шеллкод, полиморфную обфускацию и внедряются в легитимные программы, эффективно уклоняясь от статического обнаружения и сигнатур.
Атаки начались вскоре после выхода Shellter Elite v11.0 16 апреля 2025 года. Уже в конце апреля 2025 года Elastic зафиксировал кампании с финансовой мотивацией, использующие Shellter. Тогда же Lumma Stealer распространялся через полезные нагрузки, размещенные на MediaFire. К середине мая 2025 года SectopRAT и Rhadamanthys Stealer также внедрили Shellter v11 в свои операции после его появления в продаже на киберпреступных форумах.
Злоумышленники применяли изощренные приманки: предлагали спонсорство создателям контента, распространяли моды для игр (например, чит-коды для Fortnite) через YouTube, используя MediaFire как площадку для загрузки вредоносных файлов.
Разработчики Shellter Project признали факт утечки, несмотря на их «тщательный процесс проверки», который успешно работал со времен запуска Shellter Pro Plus в феврале 2023 года. Они выпустили обновление для устранения проблемы, но резко раскритиковали Elastic Security Labs. В заявлении от 10 июля 2025 года команда обвинила Elastic в «приоритезации публичности над общественной безопасностью» и «безрассудных и непрофессиональных действиях» из-за задержки уведомления. Shellter Project объявил о выделении ресурсов для усиления механизмов DRM, чтобы затруднить несанкционированное распространение, мотивируя это инцидентом с утечкой.
Elastic Security Labs защитили свою позицию. В отчете, опубликованном в начале июля 2025 года, они подробно описали злоупотребление Shellter, начавшееся в апреле. В заявлении для The Hacker News Elastic подчеркнул приверженность «прозрачности, ответственным исследованиям, открытости» и «менталитету защитника в первую очередь». Лаборатория узнала о потенциально подозрительной активности 18 июня 2025 года, провела расследование с использованием общедоступных данных и телеметрии, предоставленной пользователями, и опубликовала результаты примерно через две недели после установления фактов. Elastic уверен, что публичное раскрытие информации служит общественным интересам, помогая защитникам.
Изображение носит иллюстративный характер
Shellter – мощный инструмент для «красных команд», предназначенный для обхода антивирусов (AV) и систем обнаружения и реагирования на конечных точках (EDR). Его защищенные образцы применяют самоизменяющийся шеллкод, полиморфную обфускацию и внедряются в легитимные программы, эффективно уклоняясь от статического обнаружения и сигнатур.
Атаки начались вскоре после выхода Shellter Elite v11.0 16 апреля 2025 года. Уже в конце апреля 2025 года Elastic зафиксировал кампании с финансовой мотивацией, использующие Shellter. Тогда же Lumma Stealer распространялся через полезные нагрузки, размещенные на MediaFire. К середине мая 2025 года SectopRAT и Rhadamanthys Stealer также внедрили Shellter v11 в свои операции после его появления в продаже на киберпреступных форумах.
Злоумышленники применяли изощренные приманки: предлагали спонсорство создателям контента, распространяли моды для игр (например, чит-коды для Fortnite) через YouTube, используя MediaFire как площадку для загрузки вредоносных файлов.
Разработчики Shellter Project признали факт утечки, несмотря на их «тщательный процесс проверки», который успешно работал со времен запуска Shellter Pro Plus в феврале 2023 года. Они выпустили обновление для устранения проблемы, но резко раскритиковали Elastic Security Labs. В заявлении от 10 июля 2025 года команда обвинила Elastic в «приоритезации публичности над общественной безопасностью» и «безрассудных и непрофессиональных действиях» из-за задержки уведомления. Shellter Project объявил о выделении ресурсов для усиления механизмов DRM, чтобы затруднить несанкционированное распространение, мотивируя это инцидентом с утечкой.
Elastic Security Labs защитили свою позицию. В отчете, опубликованном в начале июля 2025 года, они подробно описали злоупотребление Shellter, начавшееся в апреле. В заявлении для The Hacker News Elastic подчеркнул приверженность «прозрачности, ответственным исследованиям, открытости» и «менталитету защитника в первую очередь». Лаборатория узнала о потенциально подозрительной активности 18 июня 2025 года, провела расследование с использованием общедоступных данных и телеметрии, предоставленной пользователями, и опубликовала результаты примерно через две недели после установления фактов. Elastic уверен, что публичное раскрытие информации служит общественным интересам, помогая защитникам.
