En otro ejemplo de actores de amenaza que reutilizan herramientas legales para fines maliciosos, los piratas informáticos se han encontrado utilizando una popular herramienta de equipo rojo llamada refugios para distribuir malware Steeler.
La compañía detrás del software dijo que la compañía que recientemente compró una licencia de Shellter Elite filtró una copia, instando a los actores maliciosos a armarse las herramientas de su campaña de InforeTealer. Luego se lanzó una actualización para enchufar el problema.
«Nos hemos encontrado abordando esta desafortunada situación a pesar del riguroso proceso de revisión que ha evitado con éxito tales incidentes desde el lanzamiento de Shellter Pro Plus en febrero de 2023», dijo el equipo del Proyecto Shellter en un comunicado.
Esta respuesta se produce poco después de que el Laboratorio de Seguridad Elástica publicó un informe sobre cómo los marcos de evitación comercial han sido abusados en la naturaleza para propagar Lumma Stealer, Rhadamanthys Stealer y Sectoprat (también conocido como ArechClient2) desde abril de 2025.
Shellter es una herramienta poderosa que permite a los equipos de seguridad ofensivos omitir el software antivirus y detección y respuesta de punto final (EDR) instalado en puntos finales.
Elastic dijo que el 16 de abril de 2025, se utilizó Shelter Elite Versión 11.0 para identificar múltiples campañas de sellador de información motivadas financieramente a fines de abril de 2025, utilizando el refugio para las cargas útiles de empaquetado.
«Las muestras protegidas por SHELT generalmente usan el código de caparazón de autocorrección con ofuscación polimórfica para incorporarse a programas legítimos», dijo la compañía. «Esta combinación de instrucciones legítimas y código polimórfico ayuda a estos archivos a evitar la detección estática y las firmas, dejándolas indetectables».
Se cree que algunas de las campañas que ofrecen robo de Sectoprat y Rhadamanthys han adoptado la herramienta después de que se vendió la versión 11 en el popular foro de delitos cibernéticos a mediados de mayo, utilizando un video de YouTube que ofrece modos de juego como modos de juego como Fortnite Mod, utilizando señuelos relacionados con oportunidades de patrocinio dirigidas a creadores de contenido.
Mientras tanto, se dice que la cadena de ataque de Lumma Stealer se hizo popular a través de cargas útiles alojadas en Mediafire a fines de abril de 2025.
No es sorprendente que Shellter siga una trayectoria similar, ya que las versiones agrietadas de Cobalt Strike y Brute Ratel C4 han encontrado formas de ir a manos de cibercriminales y actores de estado-nación.
«A pesar de los mejores esfuerzos de la comunidad comercial de OST para retener herramientas para fines legítimos, los métodos de mitigación son incompletos», dijo Elastic. «Si bien los proyectos de refugio son víctimas de este caso a través de la pérdida de propiedad intelectual y los tiempos de desarrollo futuros, otros participantes en el espacio de seguridad deben disputar las amenazas reales que manejan herramientas más competentes».
Sin embargo, el Proyecto de refugio criticó su resistencia por «priorizar la publicidad para la seguridad pública» y por actuar de una manera que se decía que era «imprudente y profesional» al notificarla rápidamente.
Source link
