Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė „Mac“ kenkėjiška programa „FlutterShell“ macOS galinės durys

„FlutterShell“ macOS galinės durys

Autorius Mezo, „Mac“ kenkėjiška programa, Užpakalinės durys
Versti į:

Kibernetinio saugumo tyrėjai atskleidė didelio masto „macOS“ kenkėjiškos reklamos operaciją, vadinamą „Operation FlutterBridge“, kuri atsakinga už naujai identifikuotų „backdoor“ programų, pavadintų „FlutterShell“, platinimą. Ši kampanija atspindi naujausią grėsmių grupės, anksčiau sietos su „JSCoreRunner“ (dar žinomos kaip „FileRipple“) – kenkėjiška veikla, pirmą kartą užfiksuota 2025 m. rugpjūtį, – evoliuciją.

Už abiejų atakų grandinių atsakinga kibernetinių nusikaltėlių grupuotė, kurios kodas yra CL-CRI-1089, manoma, kad ji veikia mažiausiai nuo 2023 m. Saugumo analitikai „FlutterShell“ laiko reikšmingu grupės galimybių ir infrastruktūros pasiekimu.

Nuo reklaminių programų iki pilnų „backdoor“ funkcijų

Sukurtas naudojant „Google Flutter“ platformą, „FlutterShell“ virusas veikia per kenkėjiškas darbalaukio programas, kurios iš pradžių atrodo teisėtos. Nors kenkėjiška programa turi reklaminių programų funkciją, jos galimybės gerokai viršija nepageidaujamą reklamą.

Kenkėjiška programa gali:

  • Vykdyti savavališkas apvalkalo komandas užkrėstose sistemose.
  • Sąveikauti su failais ir juos valdyti failų sistemoje.
  • Išfiltruoti aplinkos kintamuosius ir sistemos informaciją.
  • Atlikite sistemos pirštų atspaudų nuskaitymą.
  • Pavogti naršyklės sesijos duomenis.

Tyrėjai pastebėjo kenkėjišką veiklą, susijusią su „FlutterShell“, dar 2026 m. kovo mėn., o tai rodo, kad kampanija tebėra aktyvi.

Auganti kenkėjiškų programų ekosistema, susijusi su „TamperedChef“

„FlutterShell“ nėra pavienė grėsmė. Su CL-CRI-1089 susijusios operacijos taip pat apima „Recipe Lister“ ir „Calendaromatic“, kurios abi siejamos su platesne „TamperedChef“ kampanija, dar žinoma kaip „EvilAI“.

„TamperedChef“ kampanijos naudoja trojanizuotas produktyvumo programas, kad platintų potencialiai nepageidaujamas programas (PUP) ir reklamines programas. Šios kenkėjiškos programos reklamuojamos per apgaulingas reklamos kampanijas, skirtas įtikinti vartotojus, kad jie atsisiunčia teisėtas programinės įrangos priemones.

Kenkėjiška reklama, kurią teikia „Shell“ įmonės

Svarbus operacijos elementas yra platus kenkėjiškos reklamos tinklas, kuris naudojasi „Google“ ir „YouTube“ reklamomis. Užpuolikai naudojasi keliomis „Google“ patikrintomis fiktyviomis įmonėmis, kad publikuotų ir reklamuotų kenkėjiškas reklamas, taip padidindami savo kampanijų patikimumą ir padėdami joms išvengti reklamos platformų patikrinimo.

Tarp su operacija susijusių įmonių yra:

„AdsParkPro LTD“, „Advantage Web Marketing LLC“ ir „SOFT WE ART LIMITED“ (dabar veikianti kaip „PACIFIC TRADE SOLUTIONS LTD“).
Papildomi „YouControl“ ir Jungtinės Karalystės Įmonių registro įrašai rodo ryšius tarp šių subjektų ir Ukrainos asmenų.

Skelbimai daugiausia skirti „macOS“ naudotojams, esantiems Jungtinėse Amerikos Valstijose, Kanadoje, Australijoje, Prancūzijoje ir Vokietijoje. Nors susietos „Google Ads“ paskyros nebėra pasiekiamos per „Google Ads“ skaidrumo centrą, istoriniai įrašai ir toliau atskleidžia ryšius tarp susijusių subjektų.

Naršyklės užgrobimas per patikimas programas

Paleidus „FlutterShell“, ji modifikuoja „Google Chrome“ konfigūracijos failus, kad nukreiptų visą naršyklės srautą per užpuoliko kontroliuojamas tarpines svetaines, kuriose gausu reklamų. Ši naršyklės užgrobimo technika leidžia kenkėjiškiems veikėjams gauti pajamų, tuo pačiu išlaikant vartotojų naršymo veiklos kontrolę.

Ypač nerimą kelia tai, kad kiekvienas analizuotas pavyzdys buvo pasirašytas naudojant galiojančius „Apple“ kūrėjo ID ir sėkmingai praėjo „Apple“ notaro patvirtinimo procesą. Dėl to automatiniai „Apple“ saugos mechanizmai pateikimo metu neidentifikavo programų kaip kenkėjiškų.

„WebView“ architektūra leidžia dinamiškai vystytis kenkėjiškoms programoms

Vienas išskirtiniausių „FlutterShell“ bruožų yra „WebView“ pagrindu sukurtos architektūros ir „JavaScript“ bei vietinės sistemos jungties naudojimas. Šiame modelyje programa įterpia naršyklės komponentą, kuris rodo žiniatinklio turinį, leisdamas „JavaScript“ kodui tiesiogiai bendrauti su vietinėmis sistemos funkcijomis.

Užuot įdiegę kenkėjišką logiką tiesiai į programos dvejetainį failą, grėsmių kūrėjai didelę dalį kenkėjiškos programos funkcionalumo talpina savo kontroliuojamose nuotolinėse svetainėse. Šis metodas suteikia keletą privalumų:

Kenkėjiškų programų elgesį galima keisti realiuoju laiku neperkompiliuojant programos.
Naujas funkcijas galima įdiegti neplatinant atnaujintų kenkėjiškų programų dvejetainių failų.
Aptikimas tampa sudėtingesnis, nes pagrindinė kenkėjiška logika slypi už įdiegtos programos ribų.

Ši architektūra suteikia užpuolikams išskirtinį lankstumą ir leidžia greitai prisitaikyti prie gynybinių priemonių.

Keli variantai signalizuoja apie aktyvų vystymąsi

Tyrėjai nustatė tris žinomus „FlutterShell“ variantus: „PodcastsLounge“, „PDF-Brain“ ir „PDF-Ninja“. Užpuolikų infrastruktūros analizė atskleidė nepilnas „JavaScript“ funkcijas ir nebaigtus kodo komponentus, o tai rodo, kad kūrimas dar vyksta.

Keli variantai, ypač „PDF-Brain“ ir „PDF-Ninja“, turi dirbtinio intelekto valdomas dokumentų santraukų funkcijas. Tačiau santraukoms pateikti dokumentai prieš apdorojant pirmiausia nukreipiami per užpuoliko kontroliuojamus serverius, todėl paveiktiems vartotojams kyla didelių privatumo ir saugumo problemų.

Stiprūs techniniai ryšiai su ankstesnėmis kampanijomis

„FlutterShell“ turi pastebimų panašumų su ankstesnėmis kenkėjiškų programų šeimomis, susijusiomis su CL-CRI-1089, ypač su „Calendaromatic“ ir „Recipe Lister“. Akivaizdžiausias sutapimas yra bendra „WebView“ pagrindu sukurta architektūra, kuri leidžia dinamiškai modifikuoti kenkėjiškas apkrovas po diegimo.

Tyrėjai taip pat pastebėjo, kad „Advantage Web Marketing LLC“ ne tik dalyvavo platinant kenkėjiškas reklamas, bet ir veikė kaip pasirašantis subjektas „Windows“ pagrindu sukurtų reklaminių programų pavyzdžius, susijusius su ta pačia grėsmių grupe. Šie duomenys dar labiau sustiprina ryšius tarp įvairių kampanijų.

Nuolatinis ir didėjantis grėsmių kraštovaizdis

Perėjimas nuo „JSCoreRunner“ prie „FlutterShell“ rodo reikšmingą CL-CRI-1089 techninio sudėtingumo padidėjimą. Pažangaus kenkėjiškų programų kūrimo, didelio masto kenkėjiškos reklamos operacijų ir patikrintų fiktyvių įmonių naudojimo siekiant apeiti reklamos platformos kontrolę derinys pabrėžia augantį grupės taktikos efektyvumą.

Koordinuotas kelių fiktyvių organizacijų naudojimas kartu su sparčiai atsirandančiais naujais „FlutterShell“ variantais rodo, kad operacija „FlutterBridge“ išlieka aktyvia ir besivystančia grėsme. Saugumo tyrėjai perspėja, kad kampanija toli gražu nesibaigė ir tikėtina, kad ji ir toliau pritaikys savo metodus, kad būtų nukreipta į „macOS“ naudotojus visame pasaulyje.

Tendencijos

„cPanel“ paskyros atnaujinimo pranešimo el. pašto...

Sukčiavimas, Šlamštas
Į netikėtus el. laiškus, kurie sukuria skubos jausmą, visada reikėtų žiūrėti atsargiai. Kibernetiniai nusikaltėliai dažnai apsimetinėja patikimais prekių ženklais ir paslaugomis, kad apgautų gavėjus ir priverstų juos atskleisti neskelbtiną informaciją arba atsisiųsti kenkėjišką turinį. „cPanel“ paskyros atnaujinimo pranešimo el. pašto sukčiavimo kampanija yra viena iš tokių sukčiavimo...

Labiausiai žiūrima

Įkeliama...