Redazione RHC : 9 Luglio 2025 10:38
Shellter Project, produttore di un downloader commerciale per bypassare i sistemi antivirus ed EDR, ha segnalato che gli hacker stanno utilizzando il suo prodotto Shellter Elite per gli attacchi. Questo è dovuto in quanto uno dei suoi clienti ha diffuso una copia del software in rete. Secondo il produttore, l’abuso sarebbe in corso da diversi mesi e, nonostante i ricercatori di sicurezza abbiano notato l’attività, i rappresentanti di Shellter non hanno ricevuto alcuna notifica fino a poco tempo fa.
L’azienda sottolinea che questo è il primo caso noto di uso improprio del prodotto dall’introduzione del rigido modello di licenza nel febbraio 2023. “Abbiamo scoperto che un’azienda che ha recentemente acquistato licenze Shellter Elite ha diffuso la sua copia del software”, ha dichiarato Shellter in un comunicato. “Questa fuga di notizie ha portato gli aggressori a utilizzare lo strumento per scopi illeciti, tra cui la distribuzione di infosealer.”
Shellter Elite è un downloader commerciale progettato per bypassare i sistemi antivirus ed EDR. Viene spesso utilizzato dai professionisti della sicurezza (pentester e red team) per distribuire in modo occulto payload in file binari Windows legittimi. Il prodotto utilizza il polimorfismo per bypassare l’analisi statica e, durante l’esecuzione, impiega tecniche come il bypass AMSI ed ETW, la protezione dal debug e dall’esecuzione in un ambiente virtuale, il mascheramento dello stack di chiamate, impedisce la rimozione degli hook e può lanciare esche.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
In un rapporto pubblicato la scorsa settimana (3 luglio 2025), Elastic Security Labs ha segnalato che diversi aggressori stanno utilizzando Shellter Elite v11.0 per distribuire infostealer, tra cui Rhadamanthys, Lumma e Arechclient2. I ricercatori hanno scoperto che questa attività è in corso almeno da aprile e che il metodo di distribuzione del malware si basa sui commenti su YouTube e sulle e-mail di phishing. Sulla base dei timestamp univoci delle licenze, i ricercatori hanno ipotizzato che gli aggressori abbiano utilizzato un’unica copia trapelata del software, circostanza successivamente confermata ufficialmente dai rappresentanti di Shellter.
Inoltre, Elastic ha sviluppato funzionalità di rilevamento per campioni dannosi creati utilizzando la versione 11.0, pertanto i payload creati utilizzando questa versione di Shellter Elite possono già essere rilevati. A loro volta, gli sviluppatori hanno rilasciato la versione Elite 11.1, che verrà distribuita solo tra i clienti verificati, ad eccezione di coloro che hanno fatto trapelare la versione precedente. Il fornitore ha inoltre definito la mancanza di collaborazione da parte di Elastic Security Labs “sconsiderata e poco professionale” e ha criticato i ricercatori per non aver informato prima l’azienda delle loro scoperte.
“Erano a conoscenza del problema da mesi, ma non ci hanno avvisato. Invece di collaborare per combattere la minaccia, hanno scelto di nascondere l’informazione per pubblicare una rivelazione a sorpresa, dando priorità alla pubblicità rispetto alla sicurezza”, ha affermato il Progetto Shellter. Tuttavia, va notato che i ricercatori hanno fornito a Shellter tutti i campioni e le informazioni necessarie per identificare il cliente responsabile. L’azienda si è scusata con i suoi “clienti fedeli” e ha sottolineato che non collabora con i criminali informatici, esprimendo la propria disponibilità a collaborare con le forze dell’ordine se necessario.
RedazioneSu un popolare forum dedicato alle fughe di dati è apparso un annuncio pubblicitario per la vendita di un database che presumibilmente contiene 15,8 milioni di account PayPal con indirizzi email ...
Una complessa operazione di attacco è stata individuata recentemente, nella quale gli aggressori digitali utilizzano la struttura di protezione Cisco per eseguire manovre di inganno online. I mal...
A cura di Luca Stivali e Roland Kapidani. Nel giro di dieci giorni un nickname mai visto prima, mydocs, ha inondato un dark forum con una serie di thread tutti uguali: stesso template, stessa call-to-...
Un ricercatore esperto in sicurezza informatica ha scoperto che centinaia di server TeslaMate in tutto il mondo trasmettono apertamente i dati dei veicoli Tesla senza alcuna protezione. Ciò signi...
Il 23 luglio 2025, Tesla tenne la sua conference call sui risultati del secondo trimestre. Elon Musk , come di consueto, trasmise a Wall Street il suo contagioso ottimismo. Parlando di Dojo, il superc...
