باب خلفي لنظام macOS FlutterShell

كشف باحثو الأمن السيبراني عن عملية إعلانية خبيثة واسعة النطاق تستهدف نظام macOS، تُعرف باسم عملية FlutterBridge، وهي مسؤولة عن توزيع باب خلفي تم اكتشافه حديثًا يُدعى FlutterShell. تمثل هذه الحملة أحدث تطور لمجموعة تهديدات كانت مرتبطة سابقًا ببرنامج JSCoreRunner (المعروف أيضًا باسم FileRipple)، وهو نشاط خبيث تم توثيقه لأول مرة في أغسطس 2025.

يتم تتبع المجموعة الإجرامية الإلكترونية التي تقف وراء سلسلتي الهجوم تحت اسم CL-CRI-1089، ويُعتقد أنها نشطة منذ عام 2023 على الأقل. ويرى محللو الأمن أن FlutterShell يمثل تقدماً كبيراً في قدرات المجموعة وبنيتها التحتية.

من البرامج الإعلانية إلى وظائف الباب الخلفي الكاملة

تم تطوير برنامج FlutterShell الخبيث باستخدام إطار عمل Flutter من جوجل، ويتم نشره عبر تطبيقات سطح مكتب خبيثة تبدو في البداية شرعية. ورغم أن هذا البرنامج الخبيث يتضمن وظائف إعلانية، إلا أن قدراته تتجاوز بكثير مجرد الإعلانات غير المرغوب فيها.

يمكن للبرمجيات الخبيثة أن:

• تنفيذ أوامر shell عشوائية على الأنظمة المصابة.
• التفاعل مع الملفات ومعالجتها داخل نظام الملفات.
• استخراج متغيرات البيئة ومعلومات النظام.
• إجراء عملية تحديد بصمة النظام.
• سرقة بيانات جلسة المتصفح.

لاحظ الباحثون نشاطًا خبيثًا يتعلق بـ FlutterShell حتى مارس 2026، مما يشير إلى أن الحملة لا تزال نشطة.

نظام بيئي متنامٍ للبرمجيات الخبيثة مرتبط بـ TamperedChef

لا يُعد FlutterShell تهديدًا معزولًا. تشمل العمليات المنسوبة إلى CL-CRI-1089 أيضًا Recipe Lister و Calendaromatic، وكلاهما مرتبط بحملة TamperedChef الأوسع نطاقًا، والمعروفة أيضًا باسم EvilAI.

تعتمد حملات TamperedChef على تطبيقات إنتاجية مُخترقة لتوزيع برامج غير مرغوب فيها وبرامج إعلانية. ويتم الترويج لهذه التطبيقات الخبيثة من خلال حملات إعلانية خادعة مصممة لإقناع المستخدمين بأنهم يقومون بتنزيل أدوات برمجية شرعية.

إعلانات خبيثة مدعومة من شركات وهمية

يُعدّ أحد العناصر الأساسية لهذه العملية شبكة إعلانات خبيثة واسعة النطاق تستغل إعلانات جوجل ويوتيوب. يستخدم المهاجمون العديد من الشركات الوهمية المعتمدة من جوجل لنشر الإعلانات الخبيثة والترويج لها، مما يزيد من مصداقية حملاتهم ويساعدهم على التهرب من تدقيق منصات الإعلان.

ومن بين الشركات المرتبطة بهذه العملية:

AdsParkPro LTD و Advantage Web Marketing LLC و SOFT WE ART LIMITED (التي تعمل الآن باسم PACIFIC TRADE SOLUTIONS LTD).
تشير سجلات إضافية من YouControl وسجل الشركات في المملكة المتحدة إلى وجود صلات بين هذه الكيانات وأفراد أوكرانيين.

تستهدف الإعلانات بشكل أساسي مستخدمي نظام macOS في الولايات المتحدة وكندا وأستراليا وفرنسا وألمانيا. ورغم أن حسابات إعلانات جوجل المرتبطة بها لم تعد متاحة عبر مركز شفافية إعلانات جوجل، إلا أن السجلات التاريخية لا تزال تكشف عن وجود صلات بين الجهات المعنية.

اختطاف المتصفح من خلال التطبيقات الموثوقة

بمجرد تنفيذه، يقوم FlutterShell بتعديل ملفات إعدادات جوجل كروم لإعادة توجيه جميع بيانات المتصفح عبر مواقع وسيطة يتحكم بها المهاجمون ومليئة بالإعلانات. تُمكّن تقنية اختطاف المتصفح هذه الجهات الخبيثة من تحقيق الربح مع الحفاظ على سيطرتها على نشاط تصفح المستخدم.

الأمر المثير للقلق بشكل خاص هو أن جميع العينات التي تم تحليلها كانت موقعة باستخدام معرّفات مطوري Apple صالحة، واجتازت بنجاح عملية التوثيق لدى Apple. ونتيجة لذلك، لم تتعرف آليات الأمان الآلية لدى Apple على التطبيقات باعتبارها ضارة وقت تقديمها.

تتيح بنية WebView تطورًا ديناميكيًا للبرمجيات الخبيثة

من أبرز سمات FlutterShell استخدامها لبنية WebView مع جسر اتصال بين JavaScript والأنظمة الأصلية. في هذا النموذج، يُضمّن التطبيق مكون متصفح لعرض محتوى الويب، بينما يسمح لرمز JavaScript بالتواصل مباشرةً مع وظائف النظام الأصلية.

بدلاً من تضمين منطق خبيث مباشرةً في ملف التطبيق التنفيذي، يقوم المهاجمون باستضافة أجزاء كبيرة من وظائف البرمجيات الخبيثة على مواقع ويب بعيدة تحت سيطرتهم. يوفر هذا النهج العديد من المزايا:

يمكن تعديل سلوك البرامج الضارة في الوقت الفعلي دون إعادة تجميع التطبيق.
يمكن إدخال وظائف جديدة دون توزيع ملفات البرامج الضارة المحدثة.
يصبح اكتشافها أكثر صعوبة لأن المنطق الخبيث الأساسي موجود خارج التطبيق المثبت.

تمنح هذه البنية المهاجمين مرونة استثنائية وتسمح بالتكيف السريع مع التدابير الدفاعية.

تشير المتغيرات المتعددة إلى تطوير نشط

حدد الباحثون ثلاثة أنواع معروفة من برامج FlutterShell الخبيثة: PodcastsLounge وPDF-Brain وPDF-Ninja. وكشف تحليل بنية المهاجمين عن وظائف جافا سكريبت غير مكتملة ومكونات برمجية غير مكتملة، مما يشير إلى أن التطوير لا يزال جارياً.

تتضمن العديد من الإصدارات، ولا سيما PDF-Brain وPDF-Ninja، ميزات تلخيص المستندات المدعومة بالذكاء الاصطناعي. ومع ذلك، تُمرر المستندات المُرسلة للتلخيص أولاً عبر خوادم يتحكم بها المهاجمون قبل معالجتها، مما يُثير مخاوف كبيرة تتعلق بالخصوصية والأمان لدى المستخدمين المتضررين.

روابط تقنية قوية مع الحملات السابقة

تتشابه FlutterShell بشكل ملحوظ مع عائلات البرامج الضارة السابقة المرتبطة بالثغرة CL-CRI-1089، وخاصة Calendaromatic وRecipe Lister. وأبرز أوجه التشابه هو البنية المشتركة القائمة على WebView، والتي تتيح التعديل الديناميكي للحمولات الخبيثة بعد نشرها.

لاحظ المحققون أيضاً أن شركة Advantage Web Marketing LLC لم تكتفِ بتوزيع الإعلانات الخبيثة، بل عملت أيضاً كجهة توقيع لعينات برامج الإعلانات المتسللة التي تعمل بنظام ويندوز والمرتبطة بنفس مجموعة التهديدات. وتعزز هذه النتائج الروابط بين الحملات المختلفة.

مشهد تهديدات مستمر ومتصاعد

يُظهر الانتقال من JSCoreRunner إلى FlutterShell زيادة كبيرة في التطور التقني من جانب CL-CRI-1089. إن الجمع بين تطوير البرمجيات الخبيثة المتقدمة، وعمليات الإعلان الخبيث واسعة النطاق، واستخدام شركات وهمية موثقة لتجاوز ضوابط منصات الإعلان، يُبرز الفعالية المتزايدة لتكتيكات المجموعة.

يشير الاستخدام المنسق لمنظمات واجهة متعددة، إلى جانب الظهور السريع لإصدارات جديدة من FlutterShell، إلى أن عملية FlutterBridge لا تزال تشكل تهديدًا نشطًا ومتطورًا. ويحذر باحثو الأمن من أن الحملة لم تنتهِ بعد، ومن المرجح أن تستمر في تطوير أساليبها لاستهداف مستخدمي macOS في جميع أنحاء العالم.