Preventivo sconto multi-licenza
Database delle minacce Malware per Mac Backdoor di FlutterShell per macOS

Backdoor di FlutterShell per macOS

Entro Mezo nel Malware per Mac, Porte sul retro
Traduci in:

Alcuni ricercatori di sicurezza informatica hanno scoperto un'operazione di malvertising su larga scala per macOS, nota come Operation FlutterBridge, responsabile della distribuzione di una backdoor recentemente identificata chiamata FlutterShell. La campagna rappresenta l'ultima evoluzione di un gruppo di minacce precedentemente associato a JSCoreRunner (noto anche come FileRipple), un'attività dannosa documentata per la prima volta nell'agosto del 2025.

Il gruppo di criminali informatici responsabile di entrambe le catene di attacchi è identificato come CL-CRI-1089 e si ritiene sia attivo almeno dal 2023. Gli analisti della sicurezza considerano FlutterShell un significativo passo avanti nelle capacità e nell'infrastruttura del gruppo.

Da adware a funzionalità backdoor complete

Sviluppato utilizzando il framework Flutter di Google, FlutterShell viene distribuito tramite applicazioni desktop dannose che inizialmente appaiono legittime. Sebbene il malware includa funzionalità di adware, le sue capacità si estendono ben oltre la semplice pubblicità indesiderata.

Il malware può:

  • Eseguire comandi shell arbitrari su sistemi infetti.
  • Interagisci con i file all'interno del file system e manipolali.
  • Esfiltra le variabili d'ambiente e le informazioni di sistema.
  • Eseguire la rilevazione delle impronte digitali del sistema.
  • Rubare i dati della sessione del browser.

I ricercatori hanno osservato attività dannose che coinvolgono FlutterShell fino a marzo 2026, il che indica che la campagna è tuttora attiva.

Un ecosistema di malware in crescita collegato a TamperedChef

FlutterShell non è una minaccia isolata. Le operazioni attribuite a CL-CRI-1089 includono anche Recipe Lister e Calendaromatic, entrambi associati alla più ampia campagna TamperedChef, nota anche come EvilAI.

Le campagne di TamperedChef si basano su applicazioni di produttività infettate da trojan per distribuire programmi potenzialmente indesiderati (PUP) e adware. Queste applicazioni dannose vengono promosse attraverso campagne pubblicitarie ingannevoli, progettate per convincere gli utenti di star scaricando software legittimi.

Pubblicità ingannevole realizzata da società di comodo

Un elemento chiave dell'operazione è una vasta rete di malvertising che sfrutta gli annunci di Google e YouTube. Gli aggressori utilizzano diverse società di comodo verificate da Google per pubblicare e promuovere annunci dannosi, aumentando la credibilità delle loro campagne e sfuggendo ai controlli delle piattaforme pubblicitarie.

Tra le aziende coinvolte nell'operazione figurano:

AdsParkPro LTD, Advantage Web Marketing LLC e SOFT WE ART LIMITED (ora operante come PACIFIC TRADE SOLUTIONS LTD).
Ulteriori dati provenienti da YouControl e dal registro delle imprese britannico Companies House indicano collegamenti tra queste entità e individui ucraini.

Gli annunci pubblicitari sono rivolti principalmente agli utenti macOS residenti negli Stati Uniti, in Canada, Australia, Francia e Germania. Sebbene gli account Google Ads associati non siano più accessibili tramite il Centro trasparenza di Google Ads, i dati storici continuano a rivelare collegamenti tra le entità coinvolte.

Dirottamento del browser tramite applicazioni attendibili

Una volta eseguito, FlutterShell modifica i file di configurazione di Google Chrome per reindirizzare tutto il traffico del browser attraverso siti web intermedi controllati dall'attaccante e pieni di pubblicità. Questa tecnica di dirottamento del browser consente ai malintenzionati di generare profitti mantenendo al contempo il controllo sull'attività di navigazione dell'utente.

Particolarmente preoccupante è il fatto che ogni campione analizzato fosse firmato utilizzando ID sviluppatore Apple validi e avesse superato con successo il processo di autenticazione di Apple. Di conseguenza, i meccanismi di sicurezza automatizzati di Apple non hanno identificato le applicazioni come dannose al momento dell'invio.

L’architettura WebView consente l’evoluzione dinamica del malware.

Una delle caratteristiche più distintive di FlutterShell è l'utilizzo di un'architettura basata su WebView combinata con un ponte di comunicazione tra JavaScript e codice nativo. In questo modello, l'applicazione incorpora un componente browser che visualizza i contenuti web, consentendo al contempo al codice JavaScript di comunicare direttamente con le funzioni native del sistema.

Anziché incorporare la logica dannosa direttamente nel file binario dell'applicazione, gli autori della minaccia ospitano porzioni significative delle funzionalità del malware su siti web remoti sotto il loro controllo. Questo approccio offre diversi vantaggi:

Il comportamento del malware può essere modificato in tempo reale senza ricompilare l'applicazione.
È possibile introdurre nuove funzionalità senza distribuire file binari di malware aggiornati.
L'individuazione diventa più difficile perché la logica dannosa principale risiede al di fuori dell'applicazione installata.

Questa architettura offre agli aggressori una flessibilità eccezionale e consente un rapido adattamento alle misure difensive.

Varianti multiple Segnalano lo sviluppo attivo

I ricercatori hanno identificato tre varianti note di FlutterShell: PodcastsLounge, PDF-Brain e PDF-Ninja. L'analisi dell'infrastruttura degli aggressori ha rivelato funzioni JavaScript incomplete e componenti di codice non finite, il che suggerisce che lo sviluppo sia ancora in corso.

Diverse varianti, in particolare PDF-Brain e PDF-Ninja, integrano funzionalità di riassunto automatico dei documenti basate sull'intelligenza artificiale. Tuttavia, i documenti inviati per il riassunto vengono prima instradati attraverso server controllati dagli aggressori prima di essere elaborati, creando notevoli problemi di privacy e sicurezza per gli utenti interessati.

Forti legami tecnici con le campagne precedenti

FlutterShell presenta notevoli somiglianze con precedenti famiglie di malware collegate a CL-CRI-1089, in particolare Calendaromatic e Recipe Lister. La sovrapposizione più evidente è l'architettura condivisa basata su WebView, che consente la modifica dinamica dei payload dannosi dopo la distribuzione.

Gli investigatori hanno inoltre osservato che Advantage Web Marketing LLC non solo ha partecipato alla distribuzione di annunci pubblicitari dannosi, ma ha anche agito come entità firmataria per campioni di adware basati su Windows associati allo stesso cluster di minacce. Questi risultati rafforzano ulteriormente i collegamenti tra le diverse campagne.

Uno scenario di minacce persistenti e in continua escalation

Il passaggio da JSCoreRunner a FlutterShell dimostra un sostanziale incremento di sofisticazione tecnica da parte di CL-CRI-1089. La combinazione di sviluppo avanzato di malware, operazioni di malvertising su larga scala e l'utilizzo di società di comodo verificate per eludere i controlli delle piattaforme pubblicitarie evidenzia la crescente efficacia delle tattiche del gruppo.

L'uso coordinato di molteplici organizzazioni di copertura, insieme alla rapida comparsa di nuove varianti di FlutterShell, suggerisce che l'Operazione FlutterBridge rimane una minaccia attiva e in continua evoluzione. I ricercatori di sicurezza avvertono che la campagna è tutt'altro che conclusa e che probabilmente continuerà ad adattare le sue tecniche per colpire gli utenti macOS in tutto il mondo.

Tendenza

I più visti

Caricamento in corso...