FlutterShell macOS Backdoor
Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια μεγάλης κλίμακας επιχείρηση κακόβουλης διαφήμισης macOS, γνωστή ως Operation FlutterBridge, η οποία είναι υπεύθυνη για τη διανομή ενός πρόσφατα εντοπισμένου backdoor με το όνομα FlutterShell. Η καμπάνια αντιπροσωπεύει την τελευταία εξέλιξη ενός cluster απειλών που είχε προηγουμένως συνδεθεί με το JSCoreRunner (γνωστό και ως FileRipple), μια κακόβουλη δραστηριότητα που καταγράφηκε για πρώτη φορά τον Αύγουστο του 2025.
Η εγκληματική ομάδα στον κυβερνοχώρο πίσω από και τις δύο αλυσίδες επιθέσεων καταγράφεται ως CL-CRI-1089 και πιστεύεται ότι είναι ενεργή τουλάχιστον από το 2023. Οι αναλυτές ασφαλείας θεωρούν το FlutterShell ως μια σημαντική πρόοδο στις δυνατότητες και την υποδομή της ομάδας.
Πίνακας περιεχομένων
Από το Adware έως την πλήρη λειτουργικότητα του Backdoor
Αναπτυγμένο με το πλαίσιο Flutter της Google, το FlutterShell παρέχεται μέσω κακόβουλων εφαρμογών για υπολογιστές που αρχικά φαίνονται νόμιμες. Ενώ το κακόβουλο λογισμικό περιλαμβάνει λειτουργίες adware, οι δυνατότητές του εκτείνονται πολύ πέρα από την ανεπιθύμητη διαφήμιση.
Το κακόβουλο λογισμικό μπορεί να:
- Εκτέλεση αυθαίρετων εντολών κελύφους σε μολυσμένα συστήματα.
- Αλληλεπιδράστε με και χειριστείτε αρχεία εντός του συστήματος αρχείων.
- Εξαγωγή μεταβλητών περιβάλλοντος και πληροφοριών συστήματος.
- Διεξαγωγή δακτυλικών αποτυπωμάτων συστήματος.
- Κλοπή δεδομένων περιόδου λειτουργίας προγράμματος περιήγησης.
Οι ερευνητές παρατήρησαν κακόβουλη δραστηριότητα που αφορούσε το FlutterShell μόλις τον Μάρτιο του 2026, υποδεικνύοντας ότι η καμπάνια παραμένει ενεργή.
Ένα αυξανόμενο οικοσύστημα κακόβουλου λογισμικού που συνδέεται με το TamperedChef
Το FlutterShell δεν αποτελεί μεμονωμένη απειλή. Οι λειτουργίες που αποδίδονται στο CL-CRI-1089 περιλαμβάνουν επίσης το Recipe Lister και το Calendaromatic, τα οποία σχετίζονται και τα δύο με την ευρύτερη καμπάνια TamperedChef, γνωστή και ως EvilAI.
Οι καμπάνιες του TamperedChef βασίζονται σε εφαρμογές παραγωγικότητας που έχουν μολυνθεί με trojan για τη διανομή δυνητικά ανεπιθύμητων προγραμμάτων (PUP) και adware. Αυτές οι κακόβουλες εφαρμογές προωθούνται μέσω παραπλανητικών διαφημιστικών καμπανιών που έχουν σχεδιαστεί για να πείσουν τους χρήστες ότι κατεβάζουν νόμιμα εργαλεία λογισμικού.
Κακόβουλη διαφήμιση που υποστηρίζεται από εταιρείες Shell
Ένα βασικό στοιχείο της επιχείρησης είναι ένα εκτεταμένο δίκτυο κακόβουλης διαφήμισης που αξιοποιεί τις διαφημίσεις της Google και του YouTube. Οι επιτιθέμενοι χρησιμοποιούν πολλαπλές εταιρείες-κελύφη που έχουν επαληθευτεί από την Google για να δημοσιεύουν και να προωθούν κακόβουλες διαφημίσεις, αυξάνοντας την αξιοπιστία των καμπανιών τους και βοηθώντας τους να αποφύγουν τον έλεγχο των πλατφορμών διαφήμισης.
Μεταξύ των εταιρειών που συνδέονται με την επιχείρηση είναι:
AdsParkPro LTD, Advantage Web Marketing LLC και SOFT WE ART LIMITED (τώρα λειτουργεί ως PACIFIC TRADE SOLUTIONS LTD).
Πρόσθετα αρχεία από την YouControl και το μητρώο του Εμπορικού Σώματος του Ηνωμένου Βασιλείου υποδεικνύουν συνδέσεις μεταξύ αυτών των οντοτήτων και Ουκρανών ιδιωτών.
Οι διαφημίσεις στοχεύουν κυρίως χρήστες macOS που βρίσκονται στις Ηνωμένες Πολιτείες, τον Καναδά, την Αυστραλία, τη Γαλλία και τη Γερμανία. Παρόλο που οι σχετικοί λογαριασμοί Google Ads δεν είναι πλέον προσβάσιμοι μέσω του Κέντρου Διαφάνειας Google Ads, τα ιστορικά αρχεία συνεχίζουν να αποκαλύπτουν συνδέσεις μεταξύ των εμπλεκόμενων οντοτήτων.
Παραβίαση προγράμματος περιήγησης μέσω αξιόπιστων εφαρμογών
Μόλις εκτελεστεί, το FlutterShell τροποποιεί τα αρχεία διαμόρφωσης του Google Chrome για να ανακατευθύνει όλη την επισκεψιμότητα του προγράμματος περιήγησης μέσω ενδιάμεσων ιστότοπων που ελέγχονται από εισβολείς και είναι γεμάτοι με διαφημίσεις. Αυτή η τεχνική παραβίασης του προγράμματος περιήγησης επιτρέπει στους απειλητικούς παράγοντες να δημιουργούν έσοδα διατηρώντας παράλληλα τον έλεγχο της δραστηριότητας περιήγησης των χρηστών.
Ιδιαίτερα ανησυχητικό είναι το γεγονός ότι κάθε αναλυμένο δείγμα υπογράφηκε με έγκυρα αναγνωριστικά προγραμματιστή της Apple και πέρασε με επιτυχία τη διαδικασία συμβολαιογραφικής επικύρωσης της Apple. Ως αποτέλεσμα, οι αυτοματοποιημένοι μηχανισμοί ασφαλείας της Apple δεν αναγνώρισαν τις εφαρμογές ως κακόβουλες κατά την υποβολή τους.
Η αρχιτεκτονική WebView επιτρέπει τη δυναμική εξέλιξη του κακόβουλου λογισμικού
Ένα από τα πιο ξεχωριστά χαρακτηριστικά του FlutterShell είναι η χρήση μιας αρχιτεκτονικής βασισμένης στο WebView σε συνδυασμό με μια γέφυρα επικοινωνίας JavaScript-to-native. Σε αυτό το μοντέλο, η εφαρμογή ενσωματώνει ένα στοιχείο προγράμματος περιήγησης που εμφανίζει περιεχόμενο ιστού, ενώ παράλληλα επιτρέπει στον κώδικα JavaScript να επικοινωνεί απευθείας με τις εγγενείς λειτουργίες του συστήματος.
Αντί να ενσωματώνουν κακόβουλη λογική απευθείας στο δυαδικό αρχείο της εφαρμογής, οι απειλητικοί παράγοντες φιλοξενούν σημαντικά τμήματα της λειτουργικότητας του κακόβουλου λογισμικού σε απομακρυσμένους ιστότοπους που βρίσκονται υπό τον έλεγχό τους. Αυτή η προσέγγιση παρέχει πολλά πλεονεκτήματα:
Η συμπεριφορά του κακόβουλου λογισμικού μπορεί να τροποποιηθεί σε πραγματικό χρόνο χωρίς να χρειαστεί να μεταγλωττιστεί ξανά η εφαρμογή.
Νέες λειτουργίες μπορούν να εισαχθούν χωρίς τη διανομή ενημερωμένων δυαδικών αρχείων κακόβουλου λογισμικού.
Η ανίχνευση γίνεται πιο δύσκολη επειδή η βασική κακόβουλη λογική βρίσκεται εκτός της εγκατεστημένης εφαρμογής.
Αυτή η αρχιτεκτονική προσφέρει στους επιτιθέμενους εξαιρετική ευελιξία και επιτρέπει την ταχεία προσαρμογή σε αμυντικά μέτρα.
Πολλαπλές παραλλαγές σηματοδοτούν ενεργή ανάπτυξη
Οι ερευνητές έχουν εντοπίσει τρεις γνωστές παραλλαγές του FlutterShell: PodcastsLounge, PDF-Brain και PDF-Ninja. Η ανάλυση της υποδομής των εισβολέων αποκάλυψε ελλιπείς λειτουργίες JavaScript και ημιτελή στοιχεία κώδικα, γεγονός που υποδηλώνει ότι η ανάπτυξη βρίσκεται σε εξέλιξη.
Αρκετές παραλλαγές, ιδιαίτερα το PDF-Brain και το PDF-Ninja, ενσωματώνουν λειτουργίες σύνοψης εγγράφων με τεχνητή νοημοσύνη. Ωστόσο, τα έγγραφα που υποβάλλονται για σύνοψη δρομολογούνται πρώτα μέσω διακομιστών που ελέγχονται από εισβολείς πριν από την επεξεργασία, δημιουργώντας σημαντικά ζητήματα απορρήτου και ασφάλειας για τους χρήστες που επηρεάζονται.
Ισχυροί τεχνικοί δεσμοί με προηγούμενες καμπάνιες
Το FlutterShell παρουσιάζει αξιοσημείωτες ομοιότητες με προηγούμενες οικογένειες κακόβουλου λογισμικού που συνδέονταν με το CL-CRI-1089, ιδιαίτερα με το Calendaromatic και το Recipe Lister. Η πιο προφανής επικάλυψη είναι η κοινόχρηστη αρχιτεκτονική που βασίζεται στο WebView, η οποία επιτρέπει τη δυναμική τροποποίηση κακόβουλων φορτίων μετά την ανάπτυξη.
Οι ερευνητές παρατήρησαν επίσης ότι η Advantage Web Marketing LLC όχι μόνο συμμετείχε στη διανομή κακόβουλων διαφημίσεων, αλλά ενήργησε και ως η υπογράφουσα οντότητα για δείγματα adware που βασίζονται σε Windows και σχετίζονται με το ίδιο σύμπλεγμα απειλών. Αυτά τα ευρήματα ενισχύουν περαιτέρω τις συνδέσεις μεταξύ των διαφόρων καμπανιών.
Ένα επίμονο και κλιμακούμενο τοπίο απειλών
Η μετάβαση από το JSCoreRunner στο FlutterShell καταδεικνύει μια σημαντική αύξηση στην τεχνική πολυπλοκότητα σύμφωνα με το CL-CRI-1089. Ο συνδυασμός ανάπτυξης προηγμένου κακόβουλου λογισμικού, επιχειρήσεων κακόβουλης διαφήμισης μεγάλης κλίμακας και της χρήσης επαληθευμένων εταιρειών-κελύφους για την παράκαμψη των ελέγχων της διαφημιστικής πλατφόρμας υπογραμμίζει την αυξανόμενη αποτελεσματικότητα των τακτικών της ομάδας.
Η συντονισμένη χρήση πολλαπλών οργανισμών-βιτρινών, σε συνδυασμό με την ταχεία εμφάνιση νέων παραλλαγών του FlutterShell, υποδηλώνει ότι η Επιχείρηση FlutterBridge παραμένει μια ενεργή και εξελισσόμενη απειλή. Οι ερευνητές ασφαλείας προειδοποιούν ότι η εκστρατεία δεν έχει τελειώσει και είναι πιθανό να συνεχίσει να προσαρμόζει τις τεχνικές της για να στοχεύει χρήστες macOS παγκοσμίως.
