ទ្វារក្រោយ macOS របស់ FlutterShell

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញប្រតិបត្តិការផ្សព្វផ្សាយមេរោគ macOS ទ្រង់ទ្រាយធំមួយ ដែលគេស្គាល់ថាជា Operation FlutterBridge ដែលទទួលខុសត្រូវចំពោះការចែកចាយ backdoor ដែលទើបកំណត់អត្តសញ្ញាណថ្មីមួយដែលមានឈ្មោះថា FlutterShell។ យុទ្ធនាការនេះតំណាងឱ្យការវិវត្តចុងក្រោយបំផុតនៃចង្កោមគំរាមកំហែងដែលពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយ JSCoreRunner (ត្រូវបានគេស្គាល់ផងដែរថាជា FileRipple) ដែលជាសកម្មភាពព្យាបាទដែលត្រូវបានកត់ត្រាជាលើកដំបូងនៅក្នុងខែសីហា ឆ្នាំ 2025។

ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលនៅពីក្រោយខ្សែសង្វាក់វាយប្រហារទាំងពីរត្រូវបានតាមដានថាជា CL-CRI-1089 ហើយត្រូវបានគេជឿថាបានធ្វើសកម្មភាពតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2023។ អ្នកវិភាគសន្តិសុខមើលឃើញថា FlutterShell ជាការជឿនលឿនគួរឱ្យកត់សម្គាល់នៅក្នុងសមត្ថភាព និងហេដ្ឋារចនាសម្ព័ន្ធរបស់ក្រុម។

ពី Adware រហូតដល់មុខងារ Backdoor ពេញលេញ

បង្កើតឡើងដោយប្រើប្រាស់ក្របខ័ណ្ឌ Flutter របស់ Google FlutterShell ត្រូវបានបញ្ជូនតាមរយៈកម្មវិធីកុំព្យូទ័រដែលមានគំនិតអាក្រក់ ដែលដំបូងឡើយហាក់ដូចជាស្របច្បាប់។ ខណៈពេលដែលមេរោគនេះរួមបញ្ចូលមុខងារ Adware សមត្ថភាពរបស់វាពង្រីកលើសពីការផ្សាយពាណិជ្ជកម្មដែលមិនចង់បាន។

មេរោគអាច៖

• ប្រតិបត្តិពាក្យបញ្ជាសែលតាមអំពើចិត្តលើប្រព័ន្ធដែលឆ្លងមេរោគ។
• ធ្វើអន្តរកម្មជាមួយ និងរៀបចំឯកសារនៅក្នុងប្រព័ន្ធឯកសារ។
• អថេរបរិស្ថាន និងព័ត៌មានប្រព័ន្ធ Exfiltrate។
• អនុវត្តការស្កេនស្នាមម្រាមដៃរបស់ប្រព័ន្ធ។
• លួចទិន្នន័យវគ្គកម្មវិធីរុករក។

ក្រុមអ្នកស្រាវជ្រាវបានសង្កេតឃើញសកម្មភាពព្យាបាទដែលពាក់ព័ន្ធនឹង FlutterShell ថ្មីៗនេះនៅក្នុងខែមីនា ឆ្នាំ២០២៦ ដែលបង្ហាញថាយុទ្ធនាការនេះនៅតែសកម្ម។

ប្រព័ន្ធអេកូឡូស៊ីមេរោគដែលកំពុងរីកចម្រើនដែលភ្ជាប់ទៅនឹង TamperedChef

FlutterShell មិនមែនជាការគំរាមកំហែងដាច់ដោយឡែកនោះទេ។ ប្រតិបត្តិការដែលសន្មតថាជារបស់ CL-CRI-1089 ក៏រួមបញ្ចូល Recipe Lister និង Calendaromatic ដែលទាំងពីរនេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងយុទ្ធនាការ TamperedChef ដ៏ទូលំទូលាយ ដែលត្រូវបានគេស្គាល់ផងដែរថាជា EvilAI។

យុទ្ធនាការ TamperedChef ពឹងផ្អែកលើកម្មវិធីផលិតភាពដែលមានមេរោគ trojan ដើម្បីចែកចាយកម្មវិធីដែលអាចមិនចង់បាន (PUPs) និង Adware។ កម្មវិធីព្យាបាទទាំងនេះត្រូវបានផ្សព្វផ្សាយតាមរយៈយុទ្ធនាការផ្សាយពាណិជ្ជកម្មបោកបញ្ឆោតដែលត្រូវបានរចនាឡើងដើម្បីបញ្ចុះបញ្ចូលអ្នកប្រើប្រាស់ថាពួកគេកំពុងទាញយកកម្មវិធីស្របច្បាប់។

ការផ្សាយពាណិជ្ជកម្មព្យាបាទដែលដំណើរការដោយក្រុមហ៊ុន Shell

ធាតុសំខាន់នៃប្រតិបត្តិការនេះគឺបណ្តាញផ្សព្វផ្សាយមេរោគយ៉ាងទូលំទូលាយដែលទាញយកអត្ថប្រយោជន៍ពីការផ្សាយពាណិជ្ជកម្មរបស់ Google និង YouTube។ អ្នកវាយប្រហារប្រើប្រាស់ក្រុមហ៊ុនសែលជាច្រើនដែលបានផ្ទៀងផ្ទាត់ដោយ Google ដើម្បីបោះពុម្ពផ្សាយ និងផ្សព្វផ្សាយការផ្សាយពាណិជ្ជកម្មដែលមានគំនិតអាក្រក់ ដែលបង្កើនភាពជឿជាក់នៃយុទ្ធនាការរបស់ពួកគេ និងជួយពួកគេឱ្យគេចផុតពីការត្រួតពិនិត្យវេទិកាផ្សាយពាណិជ្ជកម្ម។

ក្នុងចំណោមក្រុមហ៊ុនដែលមានទំនាក់ទំនងជាមួយប្រតិបត្តិការនេះរួមមាន៖

AdsParkPro LTD, Advantage Web Marketing LLC និង SOFT WE ART LIMITED (ឥឡូវដំណើរការជា PACIFIC TRADE SOLUTIONS LTD)។
កំណត់ត្រាបន្ថែមពី YouControl និងការិយាល័យចុះបញ្ជីក្រុមហ៊ុនរបស់ចក្រភពអង់គ្លេសបង្ហាញពីទំនាក់ទំនងរវាងអង្គភាពទាំងនេះ និងបុគ្គលអ៊ុយក្រែន។

ការផ្សាយពាណិជ្ជកម្មទាំងនេះផ្តោតសំខាន់លើអ្នកប្រើប្រាស់ macOS ដែលមានទីតាំងនៅសហរដ្ឋអាមេរិក កាណាដា អូស្ត្រាលី បារាំង និងអាល្លឺម៉ង់។ ទោះបីជាគណនី Google Ads ដែលពាក់ព័ន្ធលែងអាចចូលប្រើបានតាមរយៈមជ្ឈមណ្ឌលតម្លាភាព Google Ads ក៏ដោយ ក៏កំណត់ត្រាប្រវត្តិសាស្ត្រនៅតែបន្តបង្ហាញពីទំនាក់ទំនងរវាងអង្គភាពដែលពាក់ព័ន្ធ។

ការលួចចូលកម្មវិធីរុករកតាមរយៈកម្មវិធីដែលទុកចិត្ត

នៅពេលដែលត្រូវបានប្រតិបត្តិ FlutterShell កែប្រែឯកសារកំណត់រចនាសម្ព័ន្ធ Google Chrome ដើម្បីប្តូរទិសចរាចរណ៍កម្មវិធីរុករកទាំងអស់តាមរយៈគេហទំព័រអន្តរការីដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលពោរពេញទៅដោយការផ្សាយពាណិជ្ជកម្ម។ បច្ចេកទេសប្លន់កម្មវិធីរុករកនេះអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងបង្កើតប្រាក់ចំណូល ខណៈពេលដែលរក្សាការគ្រប់គ្រងលើសកម្មភាពរុករករបស់អ្នកប្រើប្រាស់។

អ្វីដែលគួរឲ្យព្រួយបារម្ភជាពិសេសនោះគឺការពិតដែលថា គំរូដែលបានវិភាគនីមួយៗត្រូវបានចុះហត្ថលេខាដោយប្រើលេខសម្គាល់អ្នកអភិវឌ្ឍន៍ Apple ដែលមានសុពលភាព ហើយបានឆ្លងកាត់ដំណើរការបញ្ជាក់អត្តសញ្ញាណរបស់ Apple ដោយជោគជ័យ។ ជាលទ្ធផល យន្តការសុវត្ថិភាពស្វ័យប្រវត្តិរបស់ Apple មិនបានកំណត់អត្តសញ្ញាណកម្មវិធីទាំងនោះថាជាកម្មវិធីព្យាបាទនៅពេលដែលពួកវាត្រូវបានដាក់ស្នើនោះទេ។

ស្ថាបត្យកម្ម WebView អនុញ្ញាតឱ្យមានការវិវត្តន៍នៃមេរោគថាមវន្ត

លក្ខណៈពិសេសប្លែកបំផុតមួយរបស់ FlutterShell គឺការប្រើប្រាស់ស្ថាបត្យកម្មដែលមានមូលដ្ឋានលើ WebView រួមផ្សំជាមួយនឹងស្ពានទំនាក់ទំនង JavaScript-to-native។ នៅក្នុងគំរូនេះ កម្មវិធីនេះបង្កប់សមាសធាតុកម្មវិធីរុករកដែលបង្ហាញខ្លឹមសារគេហទំព័រ ខណៈពេលដែលអនុញ្ញាតឱ្យកូដ JavaScript ទំនាក់ទំនងដោយផ្ទាល់ជាមួយមុខងារប្រព័ន្ធដើម។

ជំនួស​ឲ្យ​ការ​បង្កប់​តក្កវិជ្ជា​ព្យាបាទ​ដោយ​ផ្ទាល់​ទៅ​ក្នុង​ប្រព័ន្ធ​គោល​ពីរ​នៃ​កម្មវិធី តួអង្គ​គំរាមកំហែង​បង្ហោះ​ផ្នែក​សំខាន់ៗ​នៃ​មុខងារ​មេរោគ​នៅ​លើ​គេហទំព័រ​ដាច់​ស្រយាល​ក្រោម​ការ​គ្រប់គ្រង​របស់​ពួកគេ។ វិធីសាស្ត្រ​នេះ​ផ្តល់​នូវ​គុណសម្បត្តិ​ជាច្រើន៖

ឥរិយាបថរបស់មេរោគអាចត្រូវបានកែប្រែក្នុងពេលវេលាជាក់ស្តែងដោយមិនចាំបាច់ចងក្រងកម្មវិធីឡើងវិញទេ។
មុខងារថ្មីអាចត្រូវបានណែនាំដោយមិនចាំបាច់ចែកចាយប្រព័ន្ធគោលពីរមេរោគដែលបានធ្វើបច្ចុប្បន្នភាព។
ការរកឃើញកាន់តែពិបាក ពីព្រោះតក្កវិជ្ជាព្យាបាទស្នូលស្ថិតនៅខាងក្រៅកម្មវិធីដែលបានដំឡើង។

ស្ថាបត្យកម្មនេះផ្តល់ឱ្យអ្នកវាយប្រហារនូវភាពបត់បែនពិសេស និងអនុញ្ញាតឱ្យមានការសម្របខ្លួនយ៉ាងឆាប់រហ័សទៅនឹងវិធានការការពារ។

ការអភិវឌ្ឍសកម្មនៃសញ្ញាវ៉ារ្យ៉ង់ច្រើន

ក្រុមអ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណបំរែបំរួល FlutterShell ចំនួនបីដែលគេស្គាល់៖ PodcastsLounge, PDF-Brain និង PDF-Ninja។ ការវិភាគហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារបានបង្ហាញពីមុខងារ JavaScript មិនពេញលេញ និងសមាសធាតុកូដដែលមិនទាន់បានបញ្ចប់ ដែលបង្ហាញថាការអភិវឌ្ឍន៍កំពុងបន្ត។

វ៉ារ្យ៉ង់ជាច្រើន ជាពិសេស PDF-Brain និង PDF-Ninja រួមបញ្ចូលមុខងារសង្ខេបឯកសារដែលដំណើរការដោយបញ្ញាសិប្បនិម្មិត។ ទោះជាយ៉ាងណាក៏ដោយ ឯកសារដែលបានដាក់ស្នើសម្រាប់ការសង្ខេបត្រូវបានបញ្ជូនតាមរយៈម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារមុនពេលដំណើរការ ដែលបង្កើតការព្រួយបារម្ភអំពីភាពឯកជន និងសុវត្ថិភាពយ៉ាងសំខាន់សម្រាប់អ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់។

តំណភ្ជាប់បច្ចេកទេសដ៏រឹងមាំទៅកាន់យុទ្ធនាការមុនៗ

FlutterShell មានភាពស្រដៀងគ្នាគួរឱ្យកត់សម្គាល់ជាមួយក្រុមគ្រួសារមេរោគមុនៗដែលភ្ជាប់ទៅនឹង CL-CRI-1089 ជាពិសេស Calendaromatic និង Recipe Lister។ ការត្រួតស៊ីគ្នាជាក់ស្តែងបំផុតគឺស្ថាបត្យកម្មដែលមានមូលដ្ឋានលើ WebView ដែលអាចឱ្យមានការកែប្រែថាមវន្តនៃបន្ទុកមេរោគដែលមានគំនិតអាក្រក់បន្ទាប់ពីការដាក់ពង្រាយ។

ក្រុមអ្នកស៊ើបអង្កេតក៏បានសង្កេតឃើញផងដែរថា Advantage Web Marketing LLC មិនត្រឹមតែចូលរួមក្នុងការចែកចាយការផ្សាយពាណិជ្ជកម្មដែលមានគំនិតអាក្រក់ប៉ុណ្ណោះទេ ថែមទាំងបានដើរតួជាអង្គភាពចុះហត្ថលេខាសម្រាប់គំរូ Adware ដែលមានមូលដ្ឋានលើ Windows ដែលជាប់ទាក់ទងនឹងចង្កោមគំរាមកំហែងដូចគ្នា។ ការរកឃើញទាំងនេះពង្រឹងបន្ថែមទៀតនូវទំនាក់ទំនងរវាងយុទ្ធនាការផ្សេងៗ។

ទេសភាពគំរាមកំហែងដ៏រ៉ាំរ៉ៃ និងកំពុងកើនឡើង

ការផ្លាស់ប្តូរពី JSCoreRunner ទៅ FlutterShell បង្ហាញពីការកើនឡើងគួរឱ្យកត់សម្គាល់នៃភាពទំនើបផ្នែកបច្ចេកទេសដោយ CL-CRI-1089។ ការរួមបញ្ចូលគ្នានៃការអភិវឌ្ឍមេរោគកម្រិតខ្ពស់ ប្រតិបត្តិការផ្សព្វផ្សាយមេរោគទ្រង់ទ្រាយធំ និងការប្រើប្រាស់ក្រុមហ៊ុនសែលដែលបានផ្ទៀងផ្ទាត់ដើម្បីរំលងការគ្រប់គ្រងវេទិកាផ្សាយពាណិជ្ជកម្មបង្ហាញពីប្រសិទ្ធភាពកាន់តែខ្លាំងឡើងនៃយុទ្ធសាស្ត្ររបស់ក្រុម។

ការប្រើប្រាស់​សម្របសម្រួល​នៃ​អង្គការ​ជួរមុខ​ច្រើន រួមជាមួយនឹងការលេចចេញយ៉ាងឆាប់រហ័សនៃបំរែបំរួល FlutterShell ថ្មី បង្ហាញថា ប្រតិបត្តិការ FlutterBridge នៅតែជាការគំរាមកំហែងសកម្ម និងកំពុងវិវត្ត។ អ្នកស្រាវជ្រាវសន្តិសុខព្រមានថា យុទ្ធនាការនេះមិនទាន់ចប់នៅឡើយទេ ហើយទំនងជានឹងបន្តសម្របបច្ចេកទេសរបស់ខ្លួនដើម្បីកំណត់គោលដៅអ្នកប្រើប្រាស់ macOS ទូទាំងពិភពលោក។