درب پشتی FlutterShell برای macOS

محققان امنیت سایبری یک عملیات بدافزارسازی در مقیاس بزرگ macOS به نام Operation FlutterBridge را کشف کرده‌اند که مسئول توزیع یک درب پشتی تازه شناسایی شده به نام FlutterShell است. این کمپین نشان دهنده آخرین تکامل یک خوشه تهدید است که قبلاً با JSCoreRunner (همچنین با نام FileRipple شناخته می‌شود) مرتبط بود، یک فعالیت مخرب که اولین بار در آگوست 2025 ثبت شد.

گروه مجرمان سایبری پشت هر دو زنجیره حمله با شناسه CL-CRI-1089 ردیابی می‌شود و گمان می‌رود که حداقل از سال ۲۰۲۳ فعال بوده است. تحلیلگران امنیتی، FlutterShell را پیشرفت قابل توجهی در قابلیت‌ها و زیرساخت‌های این گروه می‌دانند.

از ابزارهای تبلیغاتی مزاحم تا عملکرد کامل درهای پشتی

FlutterShell که با استفاده از چارچوب Flutter گوگل توسعه داده شده است، از طریق برنامه‌های مخرب دسکتاپ که در ابتدا قانونی به نظر می‌رسند، توزیع می‌شود. در حالی که این بدافزار شامل قابلیت‌های تبلیغاتی مزاحم است، قابلیت‌های آن بسیار فراتر از تبلیغات ناخواسته است.

این بدافزار می‌تواند:

• اجرای دستورات دلخواه shell روی سیستم‌های آلوده.
• تعامل و دستکاری فایل‌ها در سیستم فایل.
• متغیرهای محیطی و اطلاعات سیستم را استخراج کنید.
• انجام انگشت نگاری سیستمی
• داده‌های نشست مرورگر را سرقت کنید.

محققان فعالیت مخرب مربوط به FlutterShell را تا مارس 2026 مشاهده کردند که نشان می‌دهد این کمپین همچنان فعال است.

یک اکوسیستم بدافزاری رو به رشد مرتبط با TamperedChef

FlutterShell یک تهدید مجزا نیست. عملیات‌های منتسب به CL-CRI-1089 شامل Recipe Lister و Calendaromatic نیز می‌شود که هر دو با کمپین گسترده‌تر TamperedChef که با نام EvilAI نیز شناخته می‌شود، مرتبط هستند.

کمپین‌های TamperedChef برای توزیع برنامه‌های ناخواسته (PUP) و ابزارهای تبلیغاتی مزاحم، به برنامه‌های کاربردی تروجان‌دار متکی هستند. این برنامه‌های مخرب از طریق کمپین‌های تبلیغاتی فریبنده‌ای که برای متقاعد کردن کاربران به دانلود ابزارهای نرم‌افزاری قانونی طراحی شده‌اند، تبلیغ می‌شوند.

تبلیغات مخرب ارائه شده توسط شرکت‌های شل

یکی از عناصر کلیدی این عملیات، یک شبکه گسترده تبلیغات مخرب است که از تبلیغات گوگل و یوتیوب بهره می‌برد. مهاجمان از چندین شرکت صوری تأیید شده توسط گوگل برای انتشار و تبلیغ تبلیغات مخرب استفاده می‌کنند و با این کار اعتبار کمپین‌های خود را افزایش داده و به آنها کمک می‌کنند تا از بررسی دقیق پلتفرم‌های تبلیغاتی فرار کنند.

از جمله شرکت‌های مرتبط با این عملیات می‌توان به موارد زیر اشاره کرد:

شرکت‌های AdsParkPro LTD، Advantage Web Marketing LLC و SOFT WE ART LIMITED (که اکنون با نام PACIFIC TRADE SOLUTIONS LTD فعالیت می‌کند).
سوابق بیشتر از YouControl و ثبت شرکت‌های بریتانیا، ارتباطاتی بین این نهادها و افراد اوکراینی را نشان می‌دهد.

این تبلیغات عمدتاً کاربران macOS ساکن در ایالات متحده، کانادا، استرالیا، فرانسه و آلمان را هدف قرار می‌دهند. اگرچه حساب‌های کاربری مرتبط با تبلیغات گوگل دیگر از طریق مرکز شفافیت تبلیغات گوگل قابل دسترسی نیستند، اما سوابق تاریخی همچنان ارتباطات بین نهادهای درگیر را آشکار می‌کنند.

ربودن مرورگر از طریق برنامه‌های مورد اعتماد

پس از اجرا، FlutterShell فایل‌های پیکربندی گوگل کروم را تغییر می‌دهد تا تمام ترافیک مرورگر را از طریق وب‌سایت‌های واسطه‌ای که توسط مهاجم کنترل می‌شوند و پر از تبلیغات هستند، هدایت کند. این تکنیک ربودن مرورگر، مهاجمان را قادر می‌سازد تا ضمن حفظ کنترل بر فعالیت مرور کاربر، درآمد کسب کنند.

نکته‌ی نگران‌کننده این است که هر نمونه‌ی تحلیل‌شده با استفاده از شناسه‌های معتبر توسعه‌دهندگان اپل امضا شده و با موفقیت فرآیند تأیید هویت اپل را پشت سر گذاشته است. در نتیجه، سازوکارهای امنیتی خودکار اپل، برنامه‌ها را در زمان ارسال، مخرب تشخیص ندادند.

معماری WebView امکان تکامل پویای بدافزار را فراهم می‌کند

یکی از بارزترین ویژگی‌های FlutterShell، استفاده از معماری مبتنی بر WebView همراه با یک پل ارتباطی جاوا اسکریپت به سیستم عامل بومی است. در این مدل، برنامه یک جزء مرورگر را تعبیه می‌کند که محتوای وب را نمایش می‌دهد و در عین حال به کد جاوا اسکریپت اجازه می‌دهد تا مستقیماً با توابع سیستم بومی ارتباط برقرار کند.

به جای جاسازی مستقیم منطق مخرب در فایل باینری برنامه، عاملان تهدید بخش‌های قابل توجهی از عملکرد بدافزار را در وب‌سایت‌های راه دور تحت کنترل خود میزبانی می‌کنند. این رویکرد چندین مزیت دارد:

رفتار بدافزار را می‌توان بدون کامپایل مجدد برنامه، به صورت بلادرنگ تغییر داد.
می‌توان بدون توزیع باینری‌های به‌روزرسانی‌شده‌ی بدافزار، قابلیت‌های جدید را معرفی کرد.
تشخیص دشوارتر می‌شود زیرا منطق مخرب اصلی خارج از برنامه نصب شده قرار دارد.

این معماری به مهاجمان انعطاف‌پذیری فوق‌العاده‌ای می‌دهد و امکان سازگاری سریع با اقدامات دفاعی را فراهم می‌کند.

انواع مختلف سیگنال توسعه فعال

محققان سه نوع شناخته‌شده از FlutterShell را شناسایی کرده‌اند: PodcastsLounge، PDF-Brain و PDF-Ninja. تجزیه و تحلیل زیرساخت مهاجمان، توابع ناقص جاوا اسکریپت و اجزای کد ناتمام را نشان داد، که نشان می‌دهد توسعه آن ادامه دارد.

چندین نوع، به ویژه PDF-Brain و PDF-Ninja، ویژگی‌های خلاصه‌سازی اسناد مبتنی بر هوش مصنوعی را در خود جای داده‌اند. با این حال، اسناد ارسالی برای خلاصه‌سازی، قبل از پردازش، ابتدا از طریق سرورهای تحت کنترل مهاجم هدایت می‌شوند و نگرانی‌های قابل توجهی در مورد حریم خصوصی و امنیت کاربران آسیب‌دیده ایجاد می‌کنند.

پیوندهای فنی قوی با کمپین‌های قبلی

FlutterShell شباهت‌های قابل توجهی با خانواده‌های بدافزار قبلی مرتبط با CL-CRI-1089، به ویژه Calendaromatic و Recipe Lister، دارد. بارزترین همپوشانی، معماری مشترک مبتنی بر WebView است که امکان اصلاح پویای بارهای مخرب را پس از استقرار فراهم می‌کند.

محققان همچنین مشاهده کردند که Advantage Web Marketing LLC نه تنها در توزیع تبلیغات مخرب مشارکت داشته، بلکه به عنوان نهاد امضاکننده برای نمونه‌های تبلیغاتی مزاحم مبتنی بر ویندوز مرتبط با همان خوشه تهدید نیز عمل کرده است. این یافته‌ها ارتباط بین کمپین‌های مختلف را بیش از پیش تقویت می‌کند.

چشم‌انداز تهدید مداوم و فزاینده

گذار از JSCoreRunner به FlutterShell افزایش قابل توجهی در پیچیدگی فنی CL-CRI-1089 را نشان می‌دهد. ترکیبی از توسعه بدافزار پیشرفته، عملیات تبلیغات مخرب در مقیاس بزرگ و استفاده از شرکت‌های پوسته‌ای تأیید شده برای دور زدن کنترل‌های پلتفرم‌های تبلیغاتی، اثربخشی فزاینده تاکتیک‌های این گروه را برجسته می‌کند.

استفاده هماهنگ از چندین سازمان پوششی، همراه با ظهور سریع انواع جدید FlutterShell، نشان می‌دهد که عملیات FlutterBridge همچنان یک تهدید فعال و در حال تکامل است. محققان امنیتی هشدار می‌دهند که این کمپین هنوز به پایان نرسیده است و احتمالاً به تطبیق تکنیک‌های خود برای هدف قرار دادن کاربران macOS در سراسر جهان ادامه خواهد داد.