Ponuda s popustom na više licenci
Baza prijetnji Zlonamjerni softver za Mac FlutterShell macOS stražnja vrata

FlutterShell macOS stražnja vrata

Do Mezo. Zlonamjerni softver za Mac, Stražnja vrata. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su veliku operaciju zlonamjernog oglašavanja na macOS-u poznatu kao Operacija FlutterBridge, koja je odgovorna za distribuciju novootkrivenog backdoora pod nazivom FlutterShell. Kampanja predstavlja najnoviju evoluciju klastera prijetnji prethodno povezanih s JSCoreRunnerom (također poznatim kao FileRipple), zlonamjernom aktivnošću prvi put dokumentiranom u kolovozu 2025.

Kiberkriminalna skupina koja stoji iza oba lanca napada prati se kao CL-CRI-1089 i vjeruje se da je aktivna najmanje od 2023. Sigurnosni analitičari smatraju FlutterShell značajnim napretkom u mogućnostima i infrastrukturi skupine.

Od adwarea do pune funkcionalnosti backdoora

Razvijen korištenjem Googleovog Flutter frameworka, FlutterShell se isporučuje putem zlonamjernih desktop aplikacija koje se u početku čine legitimnima. Iako zlonamjerni softver uključuje funkcionalnost adwarea, njegove mogućnosti daleko nadilaze neželjeno oglašavanje.

Zlonamjerni softver može:

  • Izvršavanje proizvoljnih shell naredbi na zaraženim sustavima.
  • Interakcija i manipuliranje datotekama unutar datotečnog sustava.
  • Izdvojite varijable okruženja i informacije o sustavu.
  • Provedite otiske prstiju sustava.
  • Krađa podataka sesije preglednika.

Istraživači su primijetili zlonamjernu aktivnost koja uključuje FlutterShell još u ožujku 2026., što ukazuje na to da je kampanja i dalje aktivna.

Rastući ekosustav zlonamjernog softvera povezan s TamperedChefom

FlutterShell nije izolirana prijetnja. Operacije pripisane CL-CRI-1089 također uključuju Recipe Lister i Calendaromatic, oba povezana sa širom kampanjom TamperedChef, poznatom i kao EvilAI.

Kampanje TamperedChef oslanjaju se na trojanske aplikacije za produktivnost kako bi distribuirale potencijalno neželjene programe (PUP-ove) i adware. Ove zlonamjerne aplikacije promoviraju se putem obmanjujućih reklamnih kampanja osmišljenih kako bi uvjerile korisnike da preuzimaju legitimne softverske alate.

Zlonamjerno oglašavanje koje pokreću ljuske tvrtke

Ključni element operacije je opsežna mreža zlonamjernog oglašavanja koja koristi Google i YouTube oglase. Napadači koriste više fiktivnih tvrtki koje je provjerio Google za objavljivanje i promociju zlonamjernih oglasa, povećavajući kredibilitet svojih kampanja i pomažući im da izbjegnu nadzor oglašivačkih platformi.

Među tvrtkama povezanim s operacijom su:

AdsParkPro LTD, Advantage Web Marketing LLC i SOFT WE ART LIMITED (sada posluje kao PACIFIC TRADE SOLUTIONS LTD).
Dodatni zapisi iz YouControla i registra tvrtki u Ujedinjenom Kraljevstvu ukazuju na veze između tih subjekata i ukrajinskih pojedinaca.

Oglasi su prvenstveno usmjereni na korisnike macOS-a koji se nalaze u Sjedinjenim Američkim Državama, Kanadi, Australiji, Francuskoj i Njemačkoj. Iako povezani Google Ads računi više nisu dostupni putem Centra za transparentnost Google Adsa, povijesni zapisi i dalje otkrivaju veze između uključenih subjekata.

Otmica preglednika putem pouzdanih aplikacija

Nakon što se pokrene, FlutterShell mijenja konfiguracijske datoteke Google Chromea kako bi preusmjerio sav promet preglednika putem posredničkih web-stranica koje kontroliraju napadači, a ispunjene su oglasima. Ova tehnika otmice preglednika omogućuje prijetnjama generiranje prihoda uz održavanje kontrole nad aktivnostima pregledavanja korisnika.

Posebno je zabrinjavajuća činjenica da je svaki analizirani uzorak potpisan važećim Apple Developer ID-ovima i uspješno prošao Appleov postupak ovjere. Kao rezultat toga, Appleovi automatizirani sigurnosni mehanizmi nisu identificirali aplikacije kao zlonamjerne u trenutku slanja.

Arhitektura WebViewa omogućuje dinamičku evoluciju zlonamjernog softvera

Jedna od najizrazitijih karakteristika FlutterShella je korištenje arhitekture temeljene na WebViewu u kombinaciji s mostom za komunikaciju između JavaScripta i izvornog koda. U ovom modelu aplikacija ugrađuje komponentu preglednika koja prikazuje web sadržaj, a istovremeno omogućuje JavaScript kodu izravnu komunikaciju s izvornim funkcijama sustava.

Umjesto da ugrađuju zlonamjernu logiku izravno u binarnu datoteku aplikacije, akteri prijetnje hostiraju značajne dijelove funkcionalnosti zlonamjernog softvera na udaljenim web stranicama pod svojom kontrolom. Ovaj pristup pruža nekoliko prednosti:

Ponašanje zlonamjernog softvera može se mijenjati u stvarnom vremenu bez ponovnog kompajliranja aplikacije.
Nove funkcionalnosti mogu se uvesti bez distribucije ažuriranih binarnih datoteka zlonamjernog softvera.
Detekcija postaje teža jer se glavna zlonamjerna logika nalazi izvan instalirane aplikacije.

Ova arhitektura daje napadačima iznimnu fleksibilnost i omogućuje brzu prilagodbu obrambenim mjerama.

Višestruke varijante signaliziraju aktivan razvoj

Istraživači su identificirali tri poznate varijante FlutterShella: PodcastsLounge, PDF-Brain i PDF-Ninja. Analiza infrastrukture napadača otkrila je nepotpune JavaScript funkcije i nedovršene komponente koda, što sugerira da je razvoj u tijeku.

Nekoliko varijanti, posebno PDF-Brain i PDF-Ninja, uključuju značajke sažimanja dokumenata pokretane umjetnom inteligencijom. Međutim, dokumenti poslani na sažimanje prvo se usmjeravaju kroz poslužitelje koje kontroliraju napadači prije obrade, što stvara značajne probleme s privatnošću i sigurnošću za pogođene korisnike.

Snažne tehničke veze s ranijim kampanjama

FlutterShell dijeli značajne sličnosti s ranijim obiteljima zlonamjernog softvera povezanim s CL-CRI-1089, posebno Calendaromaticom i Recipe Listerom. Najočitije preklapanje je zajednička arhitektura temeljena na WebViewu, koja omogućuje dinamičku modifikaciju zlonamjernih sadržaja nakon implementacije.

Istražitelji su također primijetili da Advantage Web Marketing LLC ne samo da je sudjelovao u distribuciji zlonamjernih oglasa, već je djelovao i kao entitet za potpisivanje uzoraka adwarea temeljenih na Windowsima povezanih s istim skupom prijetnji. Ovi nalazi dodatno jačaju veze između različitih kampanja.

Uporni i rastući krajolik prijetnji

Prijelaz s JSCoreRunnera na FlutterShell pokazuje značajan porast tehničke sofisticiranosti prema CL-CRI-1089. Kombinacija naprednog razvoja zlonamjernog softvera, velikih operacija zlonamjernog oglašavanja i korištenja provjerenih fiktivnih tvrtki za zaobilaženje kontrola oglašivačkih platformi naglašava rastuću učinkovitost taktika grupe.

Koordinirano korištenje više frontovnih organizacija, zajedno s brzom pojavom novih varijanti FlutterShella, sugerira da Operacija FlutterBridge ostaje aktivna i promjenjiva prijetnja. Sigurnosni istraživači upozoravaju da kampanja nije ni blizu kraja i da će vjerojatno nastaviti prilagođavati svoje tehnike kako bi ciljala korisnike macOS-a diljem svijeta.

U trendu

Nagledanije

Učitavam...