Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós per a Mac Porta posterior de FlutterShell per a macOS

Porta posterior de FlutterShell per a macOS

El Mezo el Programari maliciós per a Mac, Portes del darrere
Traduir a:

Investigadors de ciberseguretat han descobert una operació de publicitat maliciosa a gran escala de macOS coneguda com a Operation FlutterBridge, que és responsable de distribuir una porta del darrere recentment identificada anomenada FlutterShell. La campanya representa l'última evolució d'un clúster d'amenaces anteriorment associat amb JSCoreRunner (també conegut com a FileRipple), una activitat maliciosa documentada per primera vegada a l'agost de 2025.

El grup ciberdelinqüent darrere d'ambdues cadenes d'atacs es rastreja com a CL-CRI-1089 i es creu que ha estat actiu des d'almenys el 2023. Els analistes de seguretat consideren FlutterShell com un avenç significatiu en les capacitats i la infraestructura del grup.

De l’adware a la funcionalitat completa de la porta del darrere

Desenvolupat amb el framework Flutter de Google, FlutterShell es proporciona a través d'aplicacions d'escriptori malicioses que inicialment semblen legítimes. Tot i que el programari maliciós inclou funcionalitat de programari publicitari, les seves capacitats van molt més enllà de la publicitat no desitjada.

El programari maliciós pot:

  • Executar ordres de shell arbitràries en sistemes infectats.
  • Interactuar amb els fitxers i manipular-los dins del sistema de fitxers.
  • Exfiltrar variables d'entorn i informació del sistema.
  • Realitzar una empremta digital del sistema.
  • Robar dades de sessió del navegador.

Els investigadors van observar activitat maliciosa relacionada amb FlutterShell fins al març del 2026, cosa que indica que la campanya continua activa.

Un ecosistema creixent de programari maliciós vinculat a TamperedChef

FlutterShell no és una amenaça aïllada. Les operacions atribuïdes a CL-CRI-1089 també inclouen Recipe Lister i Calendaromatic, ambdues associades a la campanya més àmplia de TamperedChef, també coneguda com a EvilAI.

Les campanyes de TamperedChef es basen en aplicacions de productivitat troianitzades per distribuir programes potencialment no desitjats (PUP) i programari publicitari. Aquestes aplicacions malicioses es promouen mitjançant campanyes publicitàries enganyoses dissenyades per convèncer els usuaris que estan descarregant eines de programari legítimes.

Publicitat maliciosa impulsada per les companyies Shell

Un element clau de l'operació és una extensa xarxa de publicitat maliciosa que aprofita els anuncis de Google i YouTube. Els atacants utilitzen diverses empreses fantasma verificades per Google per publicar i promoure anuncis maliciosos, augmentant la credibilitat de les seves campanyes i ajudant-los a evadir l'escrutini de les plataformes publicitàries.

Entre les empreses vinculades a l'operació hi ha:

AdsParkPro LTD, Advantage Web Marketing LLC i SOFT WE ART LIMITED (actualment opera com a PACIFIC TRADE SOLUTIONS LTD).
Registres addicionals de YouControl i del registre de les empreses del Regne Unit indiquen connexions entre aquestes entitats i particulars ucraïnesos.

Els anuncis es dirigeixen principalment a usuaris de macOS ubicats als Estats Units, Canadà, Austràlia, França i Alemanya. Tot i que els comptes de Google Ads associats ja no són accessibles a través del Centre de Transparència de Google Ads, els registres històrics continuen revelant connexions entre les entitats implicades.

Segrest del navegador a través d’aplicacions de confiança

Un cop executat, FlutterShell modifica els fitxers de configuració de Google Chrome per redirigir tot el trànsit del navegador a través de llocs web intermediaris controlats per atacants plens d'anuncis. Aquesta tècnica de segrest de navegadors permet als actors amenaçadors generar ingressos alhora que mantenen el control sobre l'activitat de navegació dels usuaris.

És particularment preocupant el fet que totes les mostres analitzades es van signar amb identificadors de desenvolupador d'Apple vàlids i van superar amb èxit el procés de notarització d'Apple. Com a resultat, els mecanismes de seguretat automatitzats d'Apple no van identificar les aplicacions com a malicioses en el moment en què es van enviar.

L’arquitectura de WebView permet l’evolució dinàmica del programari maliciós

Una de les característiques més distintives de FlutterShell és l'ús d'una arquitectura basada en WebView combinada amb un pont de comunicació de JavaScript a natiu. En aquest model, l'aplicació integra un component de navegador que mostra contingut web alhora que permet que el codi JavaScript es comuniqui directament amb les funcions natives del sistema.

En lloc d'integrar lògica maliciosa directament al binari de l'aplicació, els actors amenaçadors allotgen parts importants de la funcionalitat del programari maliciós en llocs web remots sota el seu control. Aquest enfocament ofereix diversos avantatges:

El comportament del programari maliciós es pot modificar en temps real sense haver de recompilar l'aplicació.
Es poden introduir noves funcionalitats sense distribuir binaris actualitzats de programari maliciós.
La detecció es torna més difícil perquè la lògica maliciosa principal resideix fora de l'aplicació instal·lada.

Aquesta arquitectura dóna als atacants una flexibilitat excepcional i permet una adaptació ràpida a les mesures defensives.

Múltiples variants indiquen un desenvolupament actiu

Els investigadors han identificat tres variants conegudes de FlutterShell: PodcastsLounge, PDF-Brain i PDF-Ninja. L'anàlisi de la infraestructura dels atacants va revelar funcions JavaScript incompletes i components de codi inacabats, cosa que suggereix que el desenvolupament està en curs.

Diverses variants, en particular PDF-Brain i PDF-Ninja, incorporen funcions de resum de documents basades en intel·ligència artificial. Tanmateix, els documents enviats per al resum es dirigeixen primer a través de servidors controlats per atacants abans de ser processats, cosa que crea importants problemes de privadesa i seguretat per als usuaris afectats.

Forts vincles tècnics amb campanyes anteriors

FlutterShell comparteix similituds notables amb famílies de programari maliciós anteriors vinculades a CL-CRI-1089, en particular Calendaromatic i Recipe Lister. La superposició més òbvia és l'arquitectura compartida basada en WebView, que permet la modificació dinàmica de càrregues útils malicioses després del desplegament.

Els investigadors també van observar que Advantage Web Marketing LLC no només participava en la distribució d'anuncis maliciosos, sinó que també actuava com a entitat signant per a mostres de programari publicitari basat en Windows associades amb el mateix clúster d'amenaces. Aquestes troballes reforcen encara més les connexions entre les diverses campanyes.

Un panorama d’amenaces persistent i en augment

La transició de JSCoreRunner a FlutterShell demostra un augment substancial de la sofisticació tècnica segons CL-CRI-1089. La combinació de desenvolupament avançat de programari maliciós, operacions de publicitat maliciosa a gran escala i l'ús d'empreses fantasma verificades per eludir els controls de la plataforma publicitària destaca la creixent eficàcia de les tàctiques del grup.

L'ús coordinat de múltiples organitzacions de pantalla, juntament amb la ràpida aparició de noves variants de FlutterShell, suggereix que l'Operació FlutterBridge continua sent una amenaça activa i en evolució. Els investigadors de seguretat adverteixen que la campanya està lluny d'acabar i que és probable que continuï adaptant les seves tècniques per atacar els usuaris de macOS a tot el món.

Tendència

Estafa per correu electrònic d'avís d'actualització...

Phishing, Correu brossa
Els correus electrònics inesperats que creen una sensació d'urgència sempre s'han de tractar amb precaució. Els ciberdelinqüents sovint suplanten marques i serveis de confiança per enganyar els destinataris perquè revelin informació confidencial o descarreguin contingut maliciós. L'estafa de correu electrònic d'avís d'actualització de compte de cPanel és una d'aquestes campanyes de phishing....

Més vist

Carregant...