Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mac Malware FlutterShell macOS hátsó ajtó

FlutterShell macOS hátsó ajtó

Mezo -ra Mac Malware, Hátsó ajtók-ben
Fordítás ide:

Kiberbiztonsági kutatók lelepleztek egy nagyszabású macOS rosszindulatú hirdetési műveletet, az Operation FlutterBridge-et, amely egy újonnan azonosított, FlutterShell nevű hátsó ajtó terjesztéséért felelős. A kampány egy korábban a JSCoreRunnerhez (más néven FileRipple) köthető fenyegetési klaszter legújabb fejleményét képviseli, egy olyan rosszindulatú tevékenységet, amelyet először 2025 augusztusában dokumentáltak.

A mindkét támadási lánc mögött álló kiberbűnözői csoportot CL-CRI-1089 azonosítóval azonosították, és úgy vélik, hogy legalább 2023 óta aktív. A biztonsági elemzők a FlutterShellt a csoport képességeinek és infrastruktúrájának jelentős előrelépéseként tartják számon.

A reklámprogramoktól a teljes hátsó ajtó funkcionalitásig

A Google Flutter keretrendszerével fejlesztett FlutterShell kártékony asztali alkalmazásokon keresztül terjed, amelyek elsőre legitimnek tűnnek. Bár a kártevő tartalmaz reklámprogram-funkciókat, képességei messze túlmutatnak a nem kívánt hirdetéseken.

A rosszindulatú program képes:

  • Tetszőleges shell parancsok végrehajtása fertőzött rendszereken.
  • Fájlokkal való interakció és azok kezelése a fájlrendszeren belül.
  • Környezeti változók és rendszerinformációk eltávolítása.
  • Végezzen rendszer-ujjlenyomat-vizsgálatot.
  • Böngésző munkamenet-adatok lopása.

A kutatók még 2026 márciusában is megfigyeltek a FlutterShell-lel kapcsolatos rosszindulatú tevékenységet, ami arra utal, hogy a kampány továbbra is aktív.

Egy növekvő kártevő-ökoszisztéma kapcsolódik a TampereredChefhez

A FlutterShell nem elszigetelt fenyegetés. A CL-CRI-1089-hez köthető műveletek közé tartozik a Recipe Lister és a Calendaromatic is, amelyek mindkettő a szélesebb körű TampererdChef kampányhoz, más néven EvilAI-hoz kapcsolódik.

A TamperedChef kampányok trójai fertőzött hatékonyságnövelő alkalmazásokra támaszkodnak a potenciálisan nemkívánatos programok (PUP-ok) és adware terjesztésére. Ezeket a rosszindulatú alkalmazásokat megtévesztő hirdetési kampányokon keresztül népszerűsítik, amelyek célja, hogy meggyőzzék a felhasználókat arról, hogy legitim szoftvereszközöket töltenek le.

Rosszindulatú hirdetések a Shell Companies jóvoltából

A művelet kulcsfontosságú eleme egy kiterjedt rosszindulatú hirdetéseket terjesztő hálózat, amely a Google és a YouTube hirdetéseit használja ki. A támadók több, Google által ellenőrzött fedőcéget használnak fel rosszindulatú hirdetések közzétételére és népszerűsítésére, növelve kampányaik hitelességét és segítve őket a hirdetési platformok ellenőrzésének elkerülésében.

A művelethez kapcsolódó vállalatok között szerepelnek:

Az AdsParkPro LTD, az Advantage Web Marketing LLC és a SOFT WE ART LIMITED (jelenleg PACIFIC TRADE SOLUTIONS LTD néven működik).
A YouControl és az Egyesült Királyság Cégbíróságának nyilvántartásából származó további adatok e szervezetek és ukrán magánszemélyek közötti kapcsolatokra utalnak.

A hirdetések elsősorban az Egyesült Államokban, Kanadában, Ausztráliában, Franciaországban és Németországban élő macOS-felhasználókat célozzák meg. Bár a kapcsolódó Google Ads-fiókok már nem érhetők el a Google Ads Átláthatósági Központon keresztül, a korábbi feljegyzések továbbra is feltárják az érintett entitások közötti kapcsolatokat.

Böngésző eltérítése megbízható alkalmazásokon keresztül

A futtatás után a FlutterShell módosítja a Google Chrome konfigurációs fájljait, hogy a böngésző teljes forgalmát a támadók által ellenőrzött, hirdetésekkel teli közvetítő webhelyeken keresztül irányítsa át. Ez a böngészőeltérítési technika lehetővé teszi a támadók számára, hogy bevételre tegyenek szert, miközben megtartják az irányítást a felhasználók böngészési tevékenysége felett.

Különösen aggasztó, hogy minden elemzett mintát érvényes Apple fejlesztői azonosítóval írtak alá, és sikeresen átmentek az Apple közjegyzői hitelesítési folyamatán. Ennek eredményeként az Apple automatizált biztonsági mechanizmusai nem azonosították az alkalmazásokat rosszindulatúként a beküldésükkor.

A WebView architektúra lehetővé teszi a dinamikus kártevő-evolúciót

A FlutterShell egyik legmegkülönböztetőbb jellemzője a WebView-alapú architektúra használata, amely egy JavaScript-natív kommunikációs híddal van kombinálva. Ebben a modellben az alkalmazás beágyaz egy böngészőkomponenst, amely webes tartalmat jelenít meg, miközben lehetővé teszi a JavaScript kód számára, hogy közvetlenül kommunikáljon a natív rendszerfunkciókkal.

Ahelyett, hogy a rosszindulatú logikát közvetlenül az alkalmazás bináris fájljába ágyaznák, a fenyegető szereplők a rosszindulatú program funkcionalitásának jelentős részét távoli webhelyeken, az ellenőrzésük alatt tartják. Ez a megközelítés számos előnnyel jár:

A rosszindulatú programok viselkedése valós időben módosítható az alkalmazás újrafordítása nélkül.
Új funkciók bevezethetők frissített kártevő binárisok terjesztése nélkül.
Az észlelés nehezebbé válik, mivel a rosszindulatú program alapvető logikája a telepített alkalmazáson kívül található.

Ez az architektúra kivételes rugalmasságot biztosít a támadóknak, és lehetővé teszi a védelmi intézkedésekhez való gyors alkalmazkodást.

Több variáns jelzi az aktív fejlődést

A kutatók három ismert FlutterShell variánst azonosítottak: a PodcastsLounge-t, a PDF-Braint és a PDF-Ninját. A támadók infrastruktúrájának elemzése hiányos JavaScript függvényeket és befejezetlen kódösszetevőket tárt fel, ami arra utal, hogy a fejlesztés folyamatban van.

Számos változat, különösen a PDF-Brain és a PDF-Ninja, mesterséges intelligenciával működő dokumentum-összefoglaló funkciókat tartalmaz. Az összegzésre beküldött dokumentumokat azonban először a támadó által ellenőrzött szervereken keresztül továbbítják a feldolgozás előtt, ami jelentős adatvédelmi és biztonsági aggályokat vet fel az érintett felhasználók számára.

Erős technikai kapcsolatok a korábbi kampányokkal

A FlutterShell jelentős hasonlóságokat mutat a CL-CRI-1089-hez köthető korábbi kártevőcsaládokkal, különösen a Calendaromatic-kal és a Recipe Listerrel. A legnyilvánvalóbb átfedés a megosztott WebView-alapú architektúra, amely lehetővé teszi a rosszindulatú csomagok dinamikus módosítását a telepítés után.

A nyomozók azt is megfigyelték, hogy az Advantage Web Marketing LLC nemcsak rosszindulatú hirdetések terjesztésében vett részt, hanem aláíró entitásként is működött az ugyanazon fenyegetéscsoporthoz kapcsolódó Windows-alapú reklámprogram-minták esetében. Ezek a megállapítások tovább erősítik a különböző kampányok közötti kapcsolatokat.

Állandó és fokozódó fenyegetettségi környezet

A JSCoreRunnerről a FlutterShellre való átállás a CL-CRI-1089 általi jelentős technikai kifinomultságnövekedést mutatja. A fejlett rosszindulatú szoftverek fejlesztése, a nagyszabású rosszindulatú hirdetésekkel kapcsolatos műveletek és az ellenőrzött fiktív cégek használata a hirdetési platformok ellenőrzésének megkerülésére rávilágít a csoport taktikájának növekvő hatékonyságára.

Több fedőszervezet összehangolt alkalmazása, valamint az új FlutterShell-variánsok gyors megjelenése arra utal, hogy az Operation FlutterBridge továbbra is aktív és folyamatosan változó fenyegetést jelent. Biztonsági kutatók arra figyelmeztetnek, hogy a kampány korántsem ért véget, és valószínűleg továbbra is adaptálni fogja technikáit a macOS-felhasználók megcélzására világszerte.

Felkapott

CPanel fiókfrissítési értesítéssel kapcsolatos...

Adathalászat, Spam
A sürgősség érzetét keltő váratlan e-maileket mindig óvatosan kell kezelni. A kiberbűnözők gyakran megbízható márkáknak és szolgáltatásoknak adják ki magukat, hogy rávegyék a címzetteket, hogy bizalmas információkat fedjenek fel, vagy rosszindulatú tartalmakat töltsenek le. A cPanel fiókfrissítési értesítéssel kapcsolatos e-mailes átverés egy ilyen adathalász kampány. Bár az üzenetek látszólag...

Legnézettebb

Betöltés...