FlutterShelli macOS-i tagauks
Küberturvalisuse uurijad on paljastanud ulatusliku macOS-i pahavara levitamise operatsiooni nimega Operation FlutterBridge, mis levitab äsja tuvastatud tagaukse nimega FlutterShell. See kampaania esindab uusimat arengut ohuklastris, mida varem seostati JSCoreRunneriga (tuntud ka kui FileRipple) – pahatahtliku tegevusega, mis esmakordselt dokumenteeriti 2025. aasta augustis.
Mõlema rünnakuahela taga olev küberkurjategijate rühmitus kannab tunnuskoodi CL-CRI-1089 ja arvatakse, et see on olnud aktiivne vähemalt alates 2023. aastast. Turvaanalüütikud peavad FlutterShelli oluliseks edasiminekuks rühmituse võimekuses ja infrastruktuuris.
Sisukord
Reklaamvarast täieliku tagaukse funktsionaalsuseni
Google'i Flutteri raamistiku abil loodud FlutterShell levib pahatahtlike töölauarakenduste kaudu, mis esmapilgul tunduvad legitiimsed. Kuigi pahavara sisaldab reklaamvara funktsioone, ulatuvad selle võimalused palju kaugemale soovimatust reklaamist.
Pahavara võib:
- Käivita nakatunud süsteemides suvalisi kestakäsklusi.
- Suhelda failisüsteemi failidega ja neid manipuleerida.
- Keskkonnamuutujate ja süsteemiteabe filtreerimine.
- Tehke süsteemi sõrmejälgede võtmine.
- Varasta brauseri seansi andmeid.
Teadlased täheldasid FlutterShelliga seotud pahatahtlikku tegevust veel 2026. aasta märtsis, mis näitab, et kampaania on endiselt aktiivne.
Kasvav pahavara ökosüsteem, mis on seotud TampereredChefiga
FlutterShell ei ole isoleeritud oht. CL-CRI-1089-le omistatud operatsioonide hulka kuuluvad ka Recipe Lister ja Calendaromatic, mis mõlemad on seotud laiema TampererdChefi kampaaniaga, tuntud ka kui EvilAI.
TamperedChefi kampaaniad tuginevad troojalaste nakatatud tootlikkusrakendustele, et levitada potentsiaalselt soovimatuid programme (PUP-e) ja reklaamvara. Neid pahatahtlikke rakendusi reklaamitakse petlike reklaamikampaaniate kaudu, mille eesmärk on veenda kasutajaid, et nad laadivad alla seaduslikke tarkvaratööriistu.
Pahatahtlik reklaam, mida pakuvad Shelli ettevõtted
Operatsiooni põhielement on ulatuslik pahavaravõrgustik, mis kasutab ära Google'i ja YouTube'i reklaame. Ründajad kasutavad pahatahtlike reklaamide avaldamiseks ja reklaamimiseks mitut Google'i poolt kontrollitud varifirmat, suurendades oma kampaaniate usaldusväärsust ja aidates neil reklaamiplatvormide kontrolli alt pääseda.
Operatsiooniga seotud ettevõtete hulgas on:
AdsParkPro LTD, Advantage Web Marketing LLC ja SOFT WE ART LIMITED (tegutseb nüüd nime all PACIFIC TRADE SOLUTIONS LTD).
YouControli ja Ühendkuningriigi ettevõtete registri täiendavad andmed viitavad seostele nende üksuste ja Ukraina isikute vahel.
Reklaamid on suunatud peamiselt macOS-i kasutajatele, kes asuvad Ameerika Ühendriikides, Kanadas, Austraalias, Prantsusmaal ja Saksamaal. Kuigi seotud Google Adsi kontodele ei pääse enam Google Adsi läbipaistvuskeskuse kaudu ligi, näitavad ajaloolised andmed endiselt seoseid asjaosaliste üksuste vahel.
Brauseri kaaperdamine usaldusväärsete rakenduste kaudu
Pärast FlutterShelli käivitamist muudab see Google Chrome'i konfiguratsioonifaile, et suunata kogu brauseriliiklus ründaja kontrolli all olevate reklaamidega täidetud vahendavate veebisaitide kaudu. See brauseri kaaperdamise tehnika võimaldab ründajatel teenida tulu, säilitades samal ajal kontrolli kasutajate sirvimistegevuse üle.
Eriti murettekitav on asjaolu, et iga analüüsitud näidis allkirjastati kehtivate Apple'i arendaja ID-dega ja läbis edukalt Apple'i notariaalse kinnitamisprotsessi. Selle tulemusena ei tuvastanud Apple'i automatiseeritud turvamehhanismid rakendusi esitamise ajal pahatahtlikena.
WebView arhitektuur võimaldab dünaamilist pahavara evolutsiooni
Üks FlutterShelli eripärasemaid omadusi on WebView-põhise arhitektuuri kasutamine koos JavaScripti ja natiivse suhtlussillaga. Selles mudelis manustab rakendus brauserikomponendi, mis kuvab veebisisu, võimaldades samal ajal JavaScripti koodil otse natiivsete süsteemifunktsioonidega suhelda.
Selle asemel, et pahatahtlikku loogikat otse rakenduse binaarfaili manustada, majutavad ohu tekitajad märkimisväärse osa pahavara funktsionaalsusest oma kontrolli all olevatel kaugveebisaitidel. Sellel lähenemisviisil on mitu eelist:
Pahavara käitumist saab reaalajas muuta ilma rakendust uuesti kompileerimata.
Uut funktsionaalsust saab kasutusele võtta ilma uuendatud pahavara binaarfaile levitamata.
Tuvastamine muutub keerulisemaks, kuna pahatahtliku tegevuse põhiloogika asub väljaspool installitud rakendust.
See arhitektuur annab ründajatele erakordse paindlikkuse ja võimaldab kiiret kohanemist kaitsemeetmetega.
Mitmed variandid viitavad aktiivsele arengule
Teadlased on tuvastanud kolm teadaolevat FlutterShelli varianti: PodcastsLounge, PDF-Brain ja PDF-Ninja. Ründajate infrastruktuuri analüüs näitas mittetäielikke JavaScripti funktsioone ja lõpetamata koodikomponente, mis viitab sellele, et arendus on pooleli.
Mitmed variandid, eriti PDF-Brain ja PDF-Ninja, sisaldavad tehisintellektil põhinevaid dokumentide kokkuvõtete funktsioone. Kokkuvõtteks esitatud dokumendid suunatakse aga enne töötlemist kõigepealt läbi ründaja kontrollitavate serverite, mis tekitab mõjutatud kasutajatele olulisi privaatsus- ja turvaprobleeme.
Tugevad tehnilised seosed varasemate kampaaniatega
FlutterShellil on märkimisväärseid sarnasusi varasemate CL-CRI-1089-ga seotud pahavaraperekondadega, eriti Calendaromatici ja Recipe Listeriga. Kõige ilmsemaks kattuvuseks on jagatud WebView-põhine arhitektuur, mis võimaldab pahatahtlike koormuste dünaamilist muutmist pärast juurutamist.
Uurijad täheldasid ka, et Advantage Web Marketing LLC mitte ainult ei osalenud pahatahtlike reklaamide levitamises, vaid tegutses ka sama ohuklastriga seotud Windowsi-põhiste reklaamvara näidiste allkirjastajana. Need leiud tugevdavad veelgi seoseid erinevate kampaaniate vahel.
Püsiv ja eskaleeruv ohumaastik
Üleminek JSCoreRunnerilt FlutterShellile näitab CL-CRI-1089 tehnilise keerukuse olulist kasvu. Täiustatud pahavara arenduse, ulatuslike pahavara levitamise operatsioonide ja kontrollitud varifirmade kasutamise kombinatsioon reklaamiplatvormi kontrolli möödahiilimiseks rõhutab grupi taktika kasvavat tõhusust.
Mitme variorganisatsiooni koordineeritud kasutamine koos uute FlutterShelli variantide kiire esilekerkimisega viitab sellele, et operatsioon FlutterBridge on endiselt aktiivne ja arenev oht. Turvauurijad hoiatavad, et kampaania pole kaugeltki läbi ja tõenäoliselt jätkatakse oma tehnikate kohandamist macOS-i kasutajate sihtimiseks kogu maailmas.
