הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנות זדוניות של Mac דלת אחורית של FlutterShell macOS

דלת אחורית של FlutterShell macOS

עד Mezo ב-תוכנות זדוניות של Mac, דלתות אחוריות
לתרגם ל:

חוקרי אבטחת סייבר חשפו פעולת פרסום זדונית בקנה מידה גדול ב-macOS המכונה Operation FlutterBridge, האחראית על הפצת דלת אחורית שזוהתה לאחרונה בשם FlutterShell. הקמפיין מייצג את האבולוציה האחרונה של אשכול איומים שקושר בעבר ל-JSCoreRunner (הידוע גם בשם FileRipple), פעילות זדונית שתועדה לראשונה באוגוסט 2025.

קבוצת פושעי הסייבר שעומדת מאחורי שתי שרשראות התקיפה מזוהה כ-CL-CRI-1089 ומאמינים שהיא פעילה לפחות משנת 2023. אנליסטים של אבטחה רואים ב-FlutterShell התקדמות משמעותית ביכולות ובתשתיות של הקבוצה.

מתוכנות פרסום לפונקציונליות מלאה של דלת אחורית

FlutterShell, שפותח באמצעות מסגרת Flutter של גוגל, מועבר דרך יישומי שולחן עבודה זדוניים שנראים בתחילה לגיטימיים. בעוד שהתוכנה הזדונית כוללת פונקציונליות של תוכנות פרסום, יכולותיה חורגות הרבה מעבר לפרסום לא רצוי.

תוכנה זדונית יכולה:

  • לבצע פקודות מעטפת שרירותיות על מערכות נגועות.
  • אינטראקציה ותפעול של קבצים בתוך מערכת הקבצים.
  • סינון משתני סביבה ומידע מערכת.
  • בצע טביעות אצבע של המערכת.
  • גניבת נתוני סשן דפדפן.

חוקרים הבחינו בפעילות זדונית הקשורה ל-FlutterShell עד מרץ 2026, דבר המצביע על כך שהקמפיין נותר פעיל.

מערכת אקולוגית של תוכנות זדוניות הולכת וגדלה המקושרת ל-TamperedChef

FlutterShell אינו איום בודד. פעולות המיוחסות ל-CL-CRI-1089 כוללות גם את Recipe Lister ואת Calendaromatic, שניהם קשורים לקמפיין TamperedChef הרחב יותר, המכונה גם EvilAI.

קמפיינים של TamperedChef מסתמכים על יישומי פרודוקטיביות שהועברו לטרויאנים כדי להפיץ תוכנות פוטנציאליות לא רצויות (PUPs) ותוכנות פרסום. יישומים זדוניים אלה מקודמים באמצעות קמפיינים פרסומיים מטעים שנועדו לשכנע משתמשים שהם מורידים כלי תוכנה לגיטימיים.

פרסום זדוני המופעל על ידי חברות שלד

מרכיב מרכזי במבצע הוא רשת פרסום זדוני נרחבת המנצלת פרסומות של גוגל ויוטיוב. התוקפים משתמשים במספר חברות קש מאומתות על ידי גוגל כדי לפרסם ולקדם פרסומות זדוניות, ובכך להגביר את אמינות הקמפיינים שלהם ולעזור להם להתחמק מבדיקה של פלטפורמות פרסום.

בין החברות הקשורות לפעילות נמצאות:

AdsParkPro LTD, ‏Advantage Web Marketing LLC, ו-SOFT WE ART LIMITED (כיום פועלת בשם PACIFIC TRADE SOLUTIONS LTD).
רישומים נוספים מ-YouControl ומרשם בית החברות של בריטניה מצביעים על קשרים בין ישויות אלו לבין יחידים אוקראינים.

הפרסומות מכוונות בעיקר למשתמשי macOS הנמצאים בארצות הברית, קנדה, אוסטרליה, צרפת וגרמניה. למרות שחשבונות Google Ads המשויכים אינם נגישים עוד דרך מרכז השקיפות של Google Ads, רישומים היסטוריים ממשיכים לחשוף קשרים בין הישויות המעורבות.

חטיפת דפדפן דרך יישומים מהימנים

לאחר ההפעלה, FlutterShell משנה את קבצי התצורה של גוגל כרום כדי להפנות את כל תעבורת הדפדפן דרך אתרי אינטרנט ביניים הנשלטים על ידי תוקפים ומלאים בפרסומות. טכניקת חטיפת דפדפן זו מאפשרת לגורמי איום לייצר הכנסות תוך שמירה על שליטה על פעילות הגלישה של המשתמשים.

מדאיגה במיוחד העובדה שכל דגימה שנותחה נחתמה באמצעות מזהי מפתח תקפים של Apple ועברה בהצלחה את תהליך האישור הנוטריוני של Apple. כתוצאה מכך, מנגנוני האבטחה האוטומטיים של Apple לא זיהו את האפליקציות כזדוניות בזמן הגשתן.

ארכיטקטורת WebView מאפשרת התפתחות דינמית של תוכנות זדוניות

אחד המאפיינים הייחודיים ביותר של FlutterShell הוא השימוש בארכיטקטורה מבוססת WebView בשילוב עם גשר תקשורת מ-JavaScript ל-native. במודל זה, האפליקציה מטמיעה רכיב דפדפן המציג תוכן אינטרנט תוך מתן אפשרות לקוד JavaScript לתקשר ישירות עם פונקציות מערכת מקוריות.

במקום להטמיע לוגיקה זדונית ישירות בקובץ הבינארי של האפליקציה, גורמי האיום מארחים חלקים משמעותיים מפונקציונליות הנוזקה באתרים מרוחקים הנמצאים תחת שליטתם. גישה זו מספקת מספר יתרונות:

ניתן לשנות את התנהגות התוכנה הזדונית בזמן אמת מבלי לבצע קומפילציה מחדש של היישום.
ניתן להציג פונקציונליות חדשה מבלי להפיץ קבצים בינאריים של תוכנות זדוניות מעודכנות.
הזיהוי הופך להיות קשה יותר מכיוון שהלוגיקה הזדונית המרכזית נמצאת מחוץ ליישום המותקן.

ארכיטקטורה זו מעניקה לתוקפים גמישות יוצאת דופן ומאפשרת הסתגלות מהירה לאמצעי הגנה.

וריאנטים מרובים מאותתים על התפתחות פעילה

חוקרים זיהו שלושה גרסאות ידועות של FlutterShell: PodcastsLounge, PDF-Brain ו-PDF-Ninja. ניתוח התשתית של התוקפים גילה פונקציות JavaScript לא שלמות ורכיבי קוד לא גמורים, דבר המצביע על כך שהפיתוח נמשך.

מספר גרסאות, ובמיוחד PDF-Brain ו-PDF-Ninja, משלבות תכונות סיכום מסמכים המופעלות על ידי בינה מלאכותית. עם זאת, מסמכים המוגשים לסיכום מנותבים תחילה דרך שרתים הנשלטים על ידי תוקפים לפני עיבודם, מה שיוצר חששות משמעותיים בנוגע לפרטיות ואבטחה עבור המשתמשים המושפעים.

קישורים טכניים חזקים לקמפיינים קודמים

ל-FlutterShell יש קווי דמיון בולטים עם משפחות תוכנות זדוניות קודמות המקושרות ל-CL-CRI-1089, ובמיוחד Calendoromatic ו-Recipe Lister. החפיפה הברורה ביותר היא הארכיטקטורה המשותפת מבוססת WebView, המאפשרת שינוי דינמי של מטענים זדוניים לאחר הפריסה.

חוקרים גם הבחינו כי Advantage Web Marketing LLC לא רק השתתפה בהפצת פרסומות זדוניות, אלא גם שימשה כישות החותמת על דגימות של תוכנות פרסום מבוססות Windows הקשורות לאותו אשכול איומים. ממצאים אלה מחזקים עוד יותר את הקשרים בין הקמפיינים השונים.

נוף איומים מתמשך ומסלים

המעבר מ-JSCoreRunner ל-FlutterShell מדגים עלייה משמעותית בתחכום הטכני על ידי CL-CRI-1089. השילוב של פיתוח תוכנות זדוניות מתקדמות, פעולות פרסום זדוניות בקנה מידה גדול, ושימוש בחברות מעטפת מאומתות כדי לעקוף את בקרות פלטפורמת הפרסום, מדגיש את היעילות הגוברת של הטקטיקות של הקבוצה.

השימוש המתואם בארגוני חזית מרובים, יחד עם הופעתם המהירה של גרסאות חדשות של FlutterShell, מצביעים על כך שמבצע FlutterBridge נותר איום פעיל ומתפתח. חוקרי אבטחה מזהירים כי הקמפיין רחוק מלהסתיים וסביר להניח שימשיך להתאים את הטכניקות שלו כדי למקד משתמשי macOS ברחבי העולם.

מגמות

הונאת דוא"ל בנוגע להודעה על שדרוג חשבון cPanel

פישינג, ספאם
יש להתייחס תמיד בזהירות לאימיילים בלתי צפויים היוצרים תחושת דחיפות. פושעי סייבר מתחזים לעתים קרובות למותגים ושירותים מהימנים כדי להערים על נמענים לחשוף מידע רגיש או להוריד תוכן זדוני. הונאת האימייל cPanel Account Upgrade Notice היא אחת מפעולות הפישינג הללו. למרות שההודעות נראות כאילו מגיעות מ-cPanel, הן אינן קשורות לחברה, ארגון או ישות לגיטימיים. במקום זאת, מדובר באימיילים הונאה שנועדו לגנוב...

הכי נצפה

טוען...