Monen lisenssin alennustarjous
Uhatietokanta Mac-haittaohjelma FlutterShell macOS -takaportti

FlutterShell macOS -takaportti

Vuonna Mezo vuonna Mac-haittaohjelma, Takaovet
Käännä:

Kyberturvallisuustutkijat ovat paljastaneet laajamittaisen macOS-haittamarkkinointioperaation nimeltä Operation FlutterBridge, joka on vastuussa äskettäin tunnistetun FlutterShell-nimisen takaoven levittämisestä. Kampanja edustaa uusinta kehitysastetta uhkaklusterissa, joka aiemmin yhdistettiin JSCoreRunneriin (tunnetaan myös nimellä FileRipple), haitalliseen toimintaan, joka dokumentoitiin ensimmäisen kerran elokuussa 2025.

Molempien hyökkäysketjujen takana oleva kyberrikollisryhmä on jäljitetty nimellä CL-CRI-1089, ja sen uskotaan olleen aktiivinen ainakin vuodesta 2023 lähtien. Tietoturva-analyytikot pitävät FlutterShelliä merkittävänä edistysaskeleena ryhmän kyvyissä ja infrastruktuurissa.

Mainosohjelmista täyteen takaportin toiminnallisuuteen

Googlen Flutter-sovelluskehyksellä kehitetty FlutterShell leviää haitallisten työpöytäsovellusten kautta, jotka aluksi vaikuttavat laillisilta. Vaikka haittaohjelma sisältää mainosohjelmia, sen ominaisuudet ulottuvat paljon ei-toivottujen mainosten ulkopuolelle.

Haittaohjelma voi:

  • Suorita mielivaltaisia komentotulkkikomentoja tartunnan saaneissa järjestelmissä.
  • Vuorovaikuttaa tiedostojärjestelmän tiedostojen kanssa ja käsitellä niitä.
  • Poista ympäristömuuttujat ja järjestelmätiedot.
  • Suorita järjestelmän sormenjälkien otto.
  • Varastaa selainistuntotietoja.

Tutkijat havaitsivat FlutterShelliin liittyvää haitallista toimintaa niinkin hiljattain kuin maaliskuussa 2026, mikä viittaa siihen, että kampanja on edelleen aktiivinen.

Kasvava haittaohjelmaekosysteemi linkittyi TampereredChefiin

FlutterShell ei ole erillinen uhka. CL-CRI-1089:ään liitettyihin operaatioihin kuuluvat myös Recipe Lister ja Calendaromatic, jotka molemmat liittyvät laajempaan TampererdChef-kampanjaan, joka tunnetaan myös nimellä EvilAI.

TampereredChef-kampanjat käyttävät troijalaisia tuottavuussovelluksia levittääkseen mahdollisesti ei-toivottuja ohjelmia (PUP) ja mainosohjelmia. Näitä haitallisia sovelluksia mainostetaan harhaanjohtavilla mainoskampanjoilla, joiden tarkoituksena on vakuuttaa käyttäjät siitä, että he lataavat laillisia ohjelmistotyökaluja.

Shell-yritysten tarjoama haitallinen mainonta

Operaation keskeinen osa on laaja haitallisten mainosten verkosto, joka hyödyntää Google- ja YouTube-mainoksia. Hyökkääjät käyttävät useita Googlen varmentamia kuoriyrityksiä julkaistakseen ja mainostaakseen haitallisia mainoksia, mikä lisää kampanjoidensa uskottavuutta ja auttaa heitä välttämään mainosalustojen tarkastelun.

Operaatioon liittyvien yritysten joukossa ovat:

AdsParkPro LTD, Advantage Web Marketing LLC ja SOFT WE ART LIMITED (toimii nyt nimellä PACIFIC TRADE SOLUTIONS LTD).
YouControlin ja Yhdistyneen kuningaskunnan Companies House -rekisterin lisätiedot osoittavat näiden yhteisöjen ja ukrainalaisten yksityishenkilöiden välisiä yhteyksiä.

Mainokset kohdistuvat ensisijaisesti macOS-käyttäjiin Yhdysvalloissa, Kanadassa, Australiassa, Ranskassa ja Saksassa. Vaikka liitettyihin Google Ads -tileihin ei enää pääse käsiksi Google Ads Transparency Centerin kautta, historialliset tiedot paljastavat edelleen yhteyksiä mukana olevien toimijoiden välillä.

Selaimen kaappaus luotettavien sovellusten kautta

Suoritettuaan FlutterShell muokkaa Google Chromen asetustiedostoja ohjatakseen kaiken selainliikenteen hyökkääjän hallitsemien, mainoksilla täytettyjen välittäjäsivustojen kautta. Tämä selaimen kaappaustekniikka antaa uhkatoimijoille mahdollisuuden tuottaa tuloja ja samalla hallita käyttäjien selaustoimintaa.

Erityisen huolestuttavaa on se, että jokainen analysoitu näyte oli allekirjoitettu voimassa olevilla Applen kehittäjätunnuksilla ja läpäissyt Applen notaariprosessin. Tämän seurauksena Applen automatisoidut turvamekanismit eivät tunnistaneet sovelluksia haitallisiksi niiden lähetyshetkellä.

WebView-arkkitehtuuri mahdollistaa haittaohjelmien dynaamisen kehityksen

Yksi FlutterShellin erottuvimmista ominaisuuksista on WebView-pohjaisen arkkitehtuurin käyttö yhdistettynä JavaScriptin ja natiivin välisen kommunikaatiosillan käyttöön. Tässä mallissa sovellus upottaa selainkomponentin, joka näyttää verkkosisältöä ja sallii JavaScript-koodin kommunikoida suoraan natiivien järjestelmäfunktioiden kanssa.

Sen sijaan, että haitallinen logiikka upotettaisiin suoraan sovelluksen binääritiedostoon, uhkatoimijat isännöivät merkittäviä osia haittaohjelman toiminnoista hallitsemillaan etäverkkosivustoilla. Tällä lähestymistavalla on useita etuja:

Haittaohjelmien toimintaa voidaan muokata reaaliajassa ilman sovelluksen uudelleenkääntämistä.
Uusia toimintoja voidaan ottaa käyttöön ilman päivitettyjen haittaohjelmabinaarien jakamista.
Havaitsemisesta tulee vaikeampaa, koska haitallisen toiminnan ydinlogiikka sijaitsee asennetun sovelluksen ulkopuolella.

Tämä arkkitehtuuri antaa hyökkääjille poikkeuksellista joustavuutta ja mahdollistaa nopean sopeutumisen puolustustoimenpiteisiin.

Useat variantit viestivät aktiivisesta kehityksestä

Tutkijat ovat tunnistaneet kolme tunnettua FlutterShell-varianttia: PodcastsLounge, PDF-Brain ja PDF-Ninja. Hyökkääjien infrastruktuurin analyysi paljasti epätäydellisiä JavaScript-funktioita ja keskeneräisiä koodikomponentteja, mikä viittaa siihen, että kehitys on käynnissä.

Useissa muunnelmissa, erityisesti PDF-Brainissa ja PDF-Ninjassa, on tekoälypohjaisia asiakirjojen yhteenveto-ominaisuuksia. Yhteenvetoon lähetetyt asiakirjat kuitenkin reititetään ensin hyökkääjän hallitsemien palvelimien kautta ennen käsittelyä, mikä aiheuttaa merkittäviä yksityisyys- ja turvallisuusongelmia käyttäjille.

Vahvat tekniset yhteydet aikaisempiin kampanjoihin

FlutterShellillä on huomattavia yhtäläisyyksiä aiempien CL-CRI-1089:ään liittyvien haittaohjelmaperheiden, erityisesti Calendaromaticin ja Recipe Listerin, kanssa. Ilmeisin päällekkäisyys on jaettu WebView-pohjainen arkkitehtuuri, joka mahdollistaa haitallisten hyötykuormien dynaamisen muokkaamisen käyttöönoton jälkeen.

Tutkijat havaitsivat myös, että Advantage Web Marketing LLC ei ainoastaan osallistunut haitallisten mainosten levittämiseen, vaan toimi myös samaan uhkaklusteriin liittyvien Windows-pohjaisten mainosohjelmanäytteiden allekirjoittajana. Nämä löydökset vahvistavat entisestään eri kampanjoiden välisiä yhteyksiä.

Jatkuva ja paheneva uhkakuva

Siirtyminen JSCoreRunnerista FlutterShelliin osoittaa CL-CRI-1089:n tuoman teknisen kehittyneisyyden huomattavaa kasvua. Edistyneen haittaohjelmien kehittämisen, laajamittaisen haitallisen mainonnan ja varmennettujen kuoriyhtiöiden käytön yhdistelmä mainosalustojen hallinnan ohittamiseksi korostaa ryhmän taktiikoiden kasvavaa tehokkuutta.

Useiden peiteorganisaatioiden koordinoitu käyttö yhdessä uusien FlutterShell-varianttien nopean ilmaantumisen kanssa viittaa siihen, että Operation FlutterBridge on edelleen aktiivinen ja kehittyvä uhka. Tietoturvatutkijat varoittavat, että kampanja on kaikkea muuta kuin ohi ja että se todennäköisesti jatkaa tekniikoidensa mukauttamista macOS-käyttäjien kohdistamiseen maailmanlaajuisesti.

Trendaavat

CPanel-tilin päivitysilmoitussähköpostihuijaus

Tietojenkalastelu, Roskaposti
Odottamattomiin sähköposteihin, jotka luovat kiireellisyyden tunteen, tulee aina suhtautua varoen. Kyberrikolliset esiintyvät usein luotettavina tuotemerkkeinä ja palveluina huijatakseen vastaanottajia paljastamaan arkaluonteisia tietoja tai lataamaan haitallista sisältöä. cPanel Account Upgrade Notice -sähköpostihuijaus on yksi tällainen tietojenkalastelukampanja. Vaikka viestit näyttävät...

Eniten katsottu

Ladataan...