São Paulo — InkDesign News — Um novo alerta de segurança cibernética surgiu com a descoberta de que atacantes estão abusando de um framework comercial de evasão para red teamers como um sistema de entrega de payloads em campanhas de infostealers motivadas financeiramente.
Vetor de ataque
Pesquisadores da Elastic Security Labs identificaram que atores de ameaça estão utilizando uma versão “ilicitamente adquirida” do Shellter Elite versão 11.0, um framework de evasão de AV/EDR, para embalar payloads desde o final de abril de 2025. Esta versão foi lançada em 16 de abril, sendo normalmente utilizada por red teamers legítimos para avaliações de segurança autorizadas.
O primeiro claro indício da campanha foi observado com a distribuição do Lumma stealer, usando o Shellter via um vetor de infecção inicial desconhecido. Os pesquisadores descobriram que arquivos relacionados ao Lumma estavam hospedados na plataforma de arquivos MediaFire.
Impacto e resposta
Este abuso do framework não só afeta o Shellter Project com perda de propriedade intelectual e tempo de desenvolvimento, mas também outros fornecedores de segurança, que devem lidar com ameaças reais utilizando ferramentas mais sofisticadas.
De acordo com os pesquisadores, “Apesar dos melhores esforços da comunidade comercial de ferramentas de segurança, os métodos de mitigação são imperfeitos” (“Despite the commercial OST (outflank security tooling) community’s best efforts to retain their tools for legitimate purposes, mitigation methods are imperfect”).
fala traduzida
(“Despite the commercial OST (outflank security tooling) community’s best efforts to retain their tools for legitimate purposes, mitigation methods are imperfect.”)— Pesquisadores, Elastic Security Labs
Análise e recomendações
O Shellter possui uma gama de configurações que os atacantes estão explorando, como a auto-modificação e ofuscação polimórfica para embutir códigos maliciosos em programas legítimos. Os pesquisadores observaram que esses ataques utilizam código polimórfico para confundir desassembladores estáticos e dificultar esforços de emulação.
Além disso, recursos como a pré-carga de módulos essenciais do sistema e técnicas para contornar a detecção de AV/EDR estão sendo amplamente utilizados. Para conter essas ameaças, a Elastic está prevendo o lançamento de uma ferramenta de desempacotamento dinâmico para binários protegidos, utilizando uma combinação de técnicas de análise dinâmica e estática.
Conforme as ameaças continuam a evoluir, é esperado que versões ilícitas do Shellter circulem pela comunidade criminosa cibernética e, potencialmente, alcancem atores alinhados a estados-nação. O Shellter Project também planeja lançar uma versão para mitigar as oportunidades de anti-detecção identificadas.
Fonte: (Dark Reading – Segurança Cibernética)
