Инфостилеры используют утилиту Shellter для обхода антивирусов и EDR

Инфостилеры используют утилиту Shellter для обхода антивирусов и EDR

Инфостилеры используют утилиту Shellter для обхода антивирусов и EDR

Аналитики из Elastic Security Labs обнаружили, что для внедрения программ-стилеров в Windows злоумышленники стали использовать Shellter — инструмент пентеста, позволяющий обойти антивирусную защиту.

Специалисты по активному тестированию кибербезопасности (offensive security), в том числе эксперты Red Team, уже более 10 лет применяют эту утилиту для сокрытия шелл-кода в приложениях Windows (файлах PE) от антивирусов и EDR.

Первые факты злоупотребления Shellter были выявлены два месяца назад. Как оказалось, авторы текущих троянских атак для загрузки используют Shellter Elite версии 11.0, вышедшей 16 апреля.

За истекший срок было выявлено три кампании по раздаче инфостилеров с помощью этого инструмента:

  • Lumma, с загрузкой с файлового хостинга MediaFire;
  • Rhadamanthys, выдаваемый за читы и моды игр на YouTube (в описаниях роликов были вставлены ссылки, привязанные к MediaFire);
  • ArechClient2, также известный как SectopRAT.

Последнего начали распространять в мае через имейл-рассылки, ориентированные на создателей контента для YouTube. Адресатам от имени Udemy, Skillshare, Pinnacle Studio, Duolingo предлагают спонсорскую помощь; к письмам прикреплен архив RAR, содержащий безобидную рекламу и защищенный Shellter исполняемый файл.

 

Проверки на VirusTotal во всех случаях показывают низкий уровень детектирования — из-за изменяющегося на лету полиморфного кода, шифрования полезной нагрузки (AES-128 в режиме CBC), сокрытия системных вызовов и адресов API и прочих уловок, затрудняющих статический сигнатурный анализ.

Для каждого пейлоада в загрузчик вшиваются три даты:

  • старт заражения;
  • самоуничтожение (по умолчанию через год после инфицирования);
  • срок действия лицензии (во всех семплах одинаковый, до 17 апреля 2026 года, т. е. злоумышленникам удалось раздобыть лишь одну копию Shellter Elite).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

19-летнего британца обвинили в атаках Scattered Spider на суды США

Минюст США раскрыл обвинения против 19-летнего жителя Восточного Лондона Талхи Джубайра. По версии следствия, он причастен как минимум к 120 кибератакам, в том числе на систему судов США. Общий ущерб оценивается более чем в $115 млн.

Джубайра арестовали 17 сентября в его доме, сообщило Национальное агентство по борьбе с преступностью (NCA).

В тот же день в Лондоне перед судом предстал и его предполагаемый сообщник — 18-летний Оуэн Флауэрс. Их обвиняют в атаке на ИТ-систему Transport for London в 2024 году, после которой транспортное ведомство несколько месяцев восстанавливало работу.

По данным NCA, за атакой стояла группировка Scattered Spider — англоязычная команда молодых хакеров, известная агрессивными методами социальной инженерии и связями с криминальным сообществом «the Com».

Что известно о действиях Джубайра:

  • В июле 2024 года ФБР изъяло серверы, которые, как утверждается, он контролировал. Там нашли следы взлома более 120 компаний, включая 47 в США.
  • Среди жертв был объект критической инфраструктуры в Нью-Джерси, а также сама система судов США.
  • В январе 2025 года хакеры через техподдержку получили доступ к трем аккаунтам, включая учетку федерального судьи. С их помощью искали данные о Scattered Spider и даже отправили фальшивый запрос в финкомпанию, чтобы выманить пользовательские данные.
  • На сервере обнаружили криптокошелёк примерно с $36 млн, из которых $8,4 млн удалось вывести уже в момент изъятия.

Сейчас оба подростка находятся под арестом, их ждёт новое судебное заседание. Будет ли США добиваться экстрадиции Джубайра, пока неизвестно.

Ранее мы писали, что в США вынесли приговор одному из ключевых участников кибергруппы Scattered Spider — 25-летнему Ноа Майклу Урбану. Суд назначил ему 10 лет лишения свободы и обязал выплатить $13 млн компенсации жертвам.

А в апреле суд Флориды заслушал заявление Ноя Урбана (Noah Michael Urban) о признании вины в рамках двух уголовных дел о коллективной краже криптовалюты через фишинг (второе с тем же фигурантом рассматривают в Калифорнии).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru