FlutterShell macOS बैकडोर

साइबर सुरक्षा शोधकर्ताओं ने ऑपरेशन फ्लटरब्रिज नामक एक बड़े पैमाने पर macOS मैलवेयर विज्ञापन अभियान का पर्दाफाश किया है, जो फ्लटरशेल नामक एक नए पहचाने गए बैकडोर को वितरित करने के लिए जिम्मेदार है। यह अभियान JSCoreRunner (जिसे FileRipple के नाम से भी जाना जाता है) से जुड़े खतरे के समूह का नवीनतम रूप है, जो एक दुर्भावनापूर्ण गतिविधि है जिसे पहली बार अगस्त 2025 में दर्ज किया गया था।

इन दोनों हमलों के पीछे मौजूद साइबर अपराधी समूह को CL-CRI-1089 के रूप में ट्रैक किया जा रहा है और माना जाता है कि यह कम से कम 2023 से सक्रिय है। सुरक्षा विश्लेषक फ्लटरशेल को समूह की क्षमताओं और बुनियादी ढांचे में एक महत्वपूर्ण प्रगति के रूप में देखते हैं।

एडवेयर से लेकर पूर्ण बैकडोर कार्यक्षमता तक

गूगल के फ्लटर फ्रेमवर्क का उपयोग करके विकसित किया गया फ्लटरशेल, शुरू में वैध प्रतीत होने वाले दुर्भावनापूर्ण डेस्कटॉप एप्लिकेशन के माध्यम से वितरित किया जाता है। हालांकि इस मैलवेयर में एडवेयर कार्यक्षमता शामिल है, लेकिन इसकी क्षमताएं अवांछित विज्ञापन से कहीं अधिक व्यापक हैं।

यह मैलवेयर निम्न कार्य कर सकता है:

• संक्रमित सिस्टमों पर मनमाने शेल कमांड निष्पादित करें।
• फाइल सिस्टम के भीतर फाइलों के साथ इंटरैक्ट करें और उनमें हेरफेर करें।
• पर्यावरण चर और सिस्टम जानकारी को बाहर निकालें।
• सिस्टम फिंगरप्रिंटिंग करें।
• ब्राउज़र सेशन डेटा चुराएं।

शोधकर्ताओं ने मार्च 2026 तक फ्लटरशेल से जुड़ी दुर्भावनापूर्ण गतिविधि देखी, जो यह दर्शाती है कि अभियान अभी भी सक्रिय है।

टेम्पर्डशेफ से जुड़ा एक बढ़ता हुआ मैलवेयर इकोसिस्टम

FlutterShell एक अलग-थलग खतरा नहीं है। CL-CRI-1089 से जुड़ी गतिविधियों में Recipe Lister और Calendaromatic भी शामिल हैं, जो दोनों ही व्यापक TamperedChef अभियान से जुड़े हैं, जिसे EvilAI के नाम से भी जाना जाता है।

TamperedChef अभियान अवांछित प्रोग्राम (PUPs) और एडवेयर फैलाने के लिए ट्रोजन युक्त उत्पादकता अनुप्रयोगों पर निर्भर करते हैं। इन दुर्भावनापूर्ण अनुप्रयोगों को भ्रामक विज्ञापन अभियानों के माध्यम से बढ़ावा दिया जाता है, जिनका उद्देश्य उपयोगकर्ताओं को यह विश्वास दिलाना होता है कि वे वैध सॉफ़्टवेयर टूल डाउनलोड कर रहे हैं।

शेल कंपनियों द्वारा संचालित दुर्भावनापूर्ण विज्ञापन

इस ऑपरेशन का एक प्रमुख तत्व एक व्यापक मैलवेयर विज्ञापन नेटवर्क है जो Google और YouTube विज्ञापनों का लाभ उठाता है। हमलावर दुर्भावनापूर्ण विज्ञापनों को प्रकाशित और प्रचारित करने के लिए Google द्वारा सत्यापित कई फर्जी कंपनियों का उपयोग करते हैं, जिससे उनके अभियानों की विश्वसनीयता बढ़ती है और उन्हें विज्ञापन प्लेटफॉर्म की जांच से बचने में मदद मिलती है।

इस ऑपरेशन से जुड़ी कंपनियों में निम्नलिखित शामिल हैं:

AdsParkPro LTD, Advantage Web Marketing LLC, और SOFT WE ART LIMITED (अब PACIFIC TRADE SOLUTIONS LTD के रूप में कार्यरत)।
यूकंट्रोल और यूनाइटेड किंगडम के कंपनीज़ हाउस रजिस्ट्री से प्राप्त अतिरिक्त रिकॉर्ड इन संस्थाओं और यूक्रेनी व्यक्तियों के बीच संबंधों का संकेत देते हैं।

ये विज्ञापन मुख्य रूप से संयुक्त राज्य अमेरिका, कनाडा, ऑस्ट्रेलिया, फ्रांस और जर्मनी में स्थित macOS उपयोगकर्ताओं को लक्षित करते हैं। हालांकि संबंधित Google Ads खाते अब Google Ads पारदर्शिता केंद्र के माध्यम से सुलभ नहीं हैं, फिर भी पुराने रिकॉर्ड इसमें शामिल संस्थाओं के बीच संबंधों को उजागर करते हैं।

विश्वसनीय अनुप्रयोगों के माध्यम से ब्राउज़र हाइजैकिंग

एक बार निष्पादित होने पर, FlutterShell Google Chrome की कॉन्फ़िगरेशन फ़ाइलों को संशोधित करके ब्राउज़र के सभी ट्रैफ़िक को हमलावर द्वारा नियंत्रित विज्ञापनों से भरी मध्यवर्ती वेबसाइटों की ओर पुनर्निर्देशित कर देता है। ब्राउज़र को हाईजैक करने की यह तकनीक हमलावरों को उपयोगकर्ताओं की ब्राउज़िंग गतिविधि पर नियंत्रण बनाए रखते हुए राजस्व उत्पन्न करने में सक्षम बनाती है।

विशेष रूप से चिंताजनक बात यह है कि विश्लेषण किए गए प्रत्येक नमूने पर वैध Apple डेवलपर ID का उपयोग करके हस्ताक्षर किए गए थे और वे Apple की नोटरीकरण प्रक्रिया से सफलतापूर्वक गुजरे थे। परिणामस्वरूप, Apple के स्वचालित सुरक्षा तंत्र ने सबमिट किए जाने के समय इन एप्लिकेशनों को दुर्भावनापूर्ण के रूप में नहीं पहचाना।

वेबव्यू आर्किटेक्चर गतिशील मैलवेयर विकास को सक्षम बनाता है

फ्लटरशेल की सबसे विशिष्ट विशेषताओं में से एक वेबव्यू-आधारित आर्किटेक्चर का उपयोग है, जो जावास्क्रिप्ट-से-नेटिव संचार ब्रिज के साथ संयुक्त है। इस मॉडल में, एप्लिकेशन एक ब्राउज़र घटक को एम्बेड करता है जो वेब सामग्री प्रदर्शित करता है, साथ ही जावास्क्रिप्ट कोड को नेटिव सिस्टम फ़ंक्शंस के साथ सीधे संवाद करने की अनुमति देता है।

दुर्भावनापूर्ण लॉजिक को सीधे एप्लिकेशन बाइनरी में एम्बेड करने के बजाय, हमलावर मैलवेयर की कार्यक्षमता के महत्वपूर्ण हिस्सों को अपने नियंत्रण वाली दूरस्थ वेबसाइटों पर होस्ट करते हैं। यह दृष्टिकोण कई लाभ प्रदान करता है:

एप्लिकेशन को पुनः संकलित किए बिना मैलवेयर के व्यवहार को वास्तविक समय में संशोधित किया जा सकता है।
अपडेटेड मैलवेयर बाइनरीज़ को वितरित किए बिना नई कार्यक्षमता को पेश किया जा सकता है।
पता लगाना और भी मुश्किल हो जाता है क्योंकि मुख्य दुर्भावनापूर्ण तर्क स्थापित एप्लिकेशन के बाहर मौजूद होता है।

यह आर्किटेक्चर हमलावरों को असाधारण लचीलापन प्रदान करता है और रक्षात्मक उपायों के लिए तेजी से अनुकूलन की अनुमति देता है।

कई प्रकारों का मिलना सक्रिय विकास का संकेत है

शोधकर्ताओं ने FlutterShell के तीन ज्ञात वेरिएंट की पहचान की है: PodcastsLounge, PDF-Brain और PDF-Ninja। हमलावरों के बुनियादी ढांचे के विश्लेषण से अपूर्ण जावास्क्रिप्ट फ़ंक्शन और अधूरे कोड घटक सामने आए, जिससे पता चलता है कि विकास कार्य जारी है।

कई वेरिएंट, विशेष रूप से PDF-Brain और PDF-Ninja, कृत्रिम बुद्धिमत्ता द्वारा संचालित दस्तावेज़ सारांश सुविधाएँ प्रदान करते हैं। हालांकि, सारांश के लिए सबमिट किए गए दस्तावेज़ों को प्रोसेसिंग से पहले हमलावरों द्वारा नियंत्रित सर्वरों से गुज़ारा जाता है, जिससे प्रभावित उपयोगकर्ताओं के लिए गोपनीयता और सुरक्षा संबंधी गंभीर चिंताएँ उत्पन्न होती हैं।

पूर्व अभियानों से मजबूत तकनीकी संबंध

FlutterShell, CL-CRI-1089 से जुड़े पहले के मैलवेयर परिवारों, विशेष रूप से Calendaromatic और Recipe Lister के साथ उल्लेखनीय समानताएं रखता है। सबसे स्पष्ट समानता साझा WebView-आधारित आर्किटेक्चर है, जो तैनाती के बाद दुर्भावनापूर्ण पेलोड के गतिशील संशोधन को सक्षम बनाता है।

जांचकर्ताओं ने यह भी पाया कि एडवांटेज वेब मार्केटिंग एलएलसी न केवल दुर्भावनापूर्ण विज्ञापनों के वितरण में शामिल थी, बल्कि उसी खतरे के समूह से जुड़े विंडोज-आधारित एडवेयर नमूनों के लिए हस्ताक्षरकर्ता इकाई के रूप में भी कार्य कर रही थी। ये निष्कर्ष विभिन्न अभियानों के बीच संबंधों को और मजबूत करते हैं।

एक निरंतर और बढ़ता हुआ खतरा

JSCoreRunner से FlutterShell में परिवर्तन CL-CRI-1089 द्वारा तकनीकी दक्षता में उल्लेखनीय वृद्धि दर्शाता है। उन्नत मैलवेयर विकास, बड़े पैमाने पर मैलवेयर विज्ञापन अभियान और विज्ञापन प्लेटफॉर्म नियंत्रणों को दरकिनार करने के लिए सत्यापित शेल कंपनियों का उपयोग समूह की रणनीति की बढ़ती प्रभावशीलता को उजागर करता है।

कई फ्रंट संगठनों के समन्वित उपयोग और फ्लटरशेल के नए वेरिएंट के तेजी से उभरने से पता चलता है कि ऑपरेशन फ्लटरब्रिज एक सक्रिय और विकसित होता खतरा बना हुआ है। सुरक्षा शोधकर्ताओं का कहना है कि यह अभियान अभी खत्म नहीं हुआ है और संभवतः दुनिया भर में मैकओएस उपयोगकर्ताओं को निशाना बनाने के लिए अपनी तकनीकों को अपनाता रहेगा।