Vairāku licenču atlaides piedāvājums
Draudu datu bāze Mac ļaunprātīga programmatūra FlutterShell macOS aizmugurējā durvis

FlutterShell macOS aizmugurējā durvis

Līdz Mezo. gadam Mac ļaunprātīga programmatūra, Aizmugures durvis. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši plaša mēroga macOS ļaunprātīgas reklāmas operāciju ar nosaukumu “Operation FlutterBridge”, kas ir atbildīga par jaunatklātas aizmugures durvis ar nosaukumu “FlutterShell” izplatīšanu. Šī kampaņa atspoguļo jaunāko apdraudējumu klastera evolūciju, kas iepriekš bija saistīts ar JSCoreRunner (pazīstams arī kā FileRipple) – ļaunprātīgu darbību, kas pirmo reizi tika dokumentēta 2025. gada augustā.

Aiz abām uzbrukumu ķēdēm stāvošā kibernoziedznieku grupa tiek izsekota kā CL-CRI-1089, un tiek uzskatīts, ka tā ir aktīva vismaz kopš 2023. gada. Drošības analītiķi uzskata FlutterShell par būtisku progresu grupas spēju un infrastruktūras jomā.

No reklāmprogrammatūras līdz pilnīgai aizmugures durvju funkcionalitātei

FlutterShell ir izstrādāts, izmantojot Google Flutter platformu, un tas tiek piegādāts, izmantojot ļaunprātīgas darbvirsmas lietojumprogrammas, kas sākotnēji šķiet likumīgas. Lai gan ļaunprogrammatūra ietver reklāmprogrammatūras funkcionalitāti, tās iespējas sniedzas daudz tālāk par nevēlamu reklāmu.

Ļaunprogrammatūra var:

  • Izpildīt patvaļīgas čaulas komandas inficētās sistēmās.
  • Mijiedarboties ar failiem un manipulēt ar tiem failu sistēmā.
  • Izfiltrēt vides mainīgos un sistēmas informāciju.
  • Veikt sistēmas pirkstu nospiedumu noņemšanu.
  • Nozagt pārlūkprogrammas sesijas datus.

Pētnieki novēroja ļaunprātīgu darbību, kurā iesaistīta FlutterShell, vēl 2026. gada martā, kas norāda, ka kampaņa joprojām ir aktīva.

Ar TampereredChef saistīta augoša ļaunprogrammatūras ekosistēma

FlutterShell nav atsevišķs drauds. Ar CL-CRI-1089 saistītās darbības ietver arī Recipe Lister un Calendaromatic, kas abi ir saistīti ar plašāku TampererdChef kampaņu, kas pazīstama arī kā EvilAI.

TampererdChef kampaņas izmanto Trojas zirgu inficētas produktivitātes lietojumprogrammas, lai izplatītu potenciāli nevēlamas programmas (PUP) un reklāmprogrammatūru. Šīs ļaunprātīgās lietojumprogrammas tiek reklamētas, izmantojot maldinošas reklāmas kampaņas, kas paredzētas, lai pārliecinātu lietotājus, ka viņi lejupielādē likumīgus programmatūras rīkus.

Ļaunprātīga reklāma, ko nodrošina Shell Companies

Operācijas galvenais elements ir plašs ļaunprātīgas reklāmas tīkls, kas izmanto Google un YouTube reklāmas. Uzbrucēji izmanto vairākus Google verificētus fiktīvus uzņēmumus, lai publicētu un reklamētu ļaunprātīgas reklāmas, palielinot savu kampaņu ticamību un palīdzot izvairīties no reklāmas platformu pārbaudes.

Starp ar operāciju saistītajiem uzņēmumiem ir:

AdsParkPro LTD, Advantage Web Marketing LLC un SOFT WE ART LIMITED (tagad darbojas kā PACIFIC TRADE SOLUTIONS LTD).
Papildu ieraksti no YouControl un Apvienotās Karalistes Uzņēmumu reģistra norāda uz saistību starp šīm vienībām un Ukrainas privātpersonām.

Reklāmas galvenokārt ir vērstas uz macOS lietotājiem, kas atrodas Amerikas Savienotajās Valstīs, Kanādā, Austrālijā, Francijā un Vācijā. Lai gan saistītie Google Ads konti vairs nav pieejami, izmantojot Google Ads pārredzamības centru, vēsturiskie ieraksti joprojām atklāj saistību starp iesaistītajām vienībām.

Pārlūkprogrammas nolaupīšana, izmantojot uzticamas lietojumprogrammas

Pēc palaišanas FlutterShell modificē Google Chrome konfigurācijas failus, lai novirzītu visu pārlūkprogrammas trafiku caur uzbrucēju kontrolētām starpniektīmekļa vietnēm, kas ir pilnas ar reklāmām. Šī pārlūkprogrammas nolaupīšanas tehnika ļauj apdraudējumu dalībniekiem gūt ieņēmumus, vienlaikus saglabājot kontroli pār lietotāju pārlūkošanas aktivitātēm.

Īpaši satraucoši ir tas, ka katrs analizētais paraugs tika parakstīts, izmantojot derīgus Apple izstrādātāja ID, un veiksmīgi izturēja Apple notariālās apstiprināšanas procesu. Tā rezultātā Apple automatizētie drošības mehānismi iesniegšanas brīdī neidentificēja lietojumprogrammas kā ļaunprātīgas.

WebView arhitektūra nodrošina dinamisku ļaunprogrammatūras evolūciju

Viena no FlutterShell raksturīgākajām iezīmēm ir WebView arhitektūras izmantošana apvienojumā ar JavaScript un vietējās valodas saziņas tiltu. Šajā modelī lietojumprogramma iegulst pārlūkprogrammas komponentu, kas parāda tīmekļa saturu, vienlaikus ļaujot JavaScript kodam tieši sazināties ar vietējām sistēmas funkcijām.

Tā vietā, lai iestrādātu ļaunprātīgu loģiku tieši lietojumprogrammas binārajā failā, apdraudējumu izpildītāji izvieto ievērojamas ļaunprogrammatūras funkcionalitātes daļas attālās tīmekļa vietnēs, kas atrodas viņu kontrolē. Šī pieeja sniedz vairākas priekšrocības:

Ļaunprogrammatūras darbību var mainīt reāllaikā, nepārkompilējot lietojumprogrammu.
Jaunu funkcionalitāti var ieviest, neizplatot atjauninātus ļaunprogrammatūras bināros failus.
Atklāšana kļūst sarežģītāka, jo galvenā ļaunprātīgā loģika atrodas ārpus instalētās lietojumprogrammas.

Šī arhitektūra nodrošina uzbrucējiem izcilu elastību un ļauj ātri pielāgoties aizsardzības pasākumiem.

Vairāki varianti signalizē par aktīvu attīstību

Pētnieki ir identificējuši trīs zināmus FlutterShell variantus: PodcastsLounge, PDF-Brain un PDF-Ninja. Uzbrucēju infrastruktūras analīze atklāja nepilnīgas JavaScript funkcijas un nepabeigtus koda komponentus, kas liecina, ka izstrāde vēl turpinās.

Vairākos variantos, īpaši PDF-Brain un PDF-Ninja, ir iekļautas mākslīgā intelekta darbinātas dokumentu apkopošanas funkcijas. Tomēr apkopošanai iesniegtie dokumenti pirms apstrādes vispirms tiek maršrutēti caur uzbrucēju kontrolētiem serveriem, radot ievērojamas bažas par privātumu un drošību skartajiem lietotājiem.

Spēcīgas tehniskas saites ar iepriekšējām kampaņām

FlutterShell ir ievērojamas līdzības ar agrākām ļaunprogrammatūru saimēm, kas saistītas ar CL-CRI-1089, jo īpaši ar Calendaromatic un Recipe Lister. Visacīmredzamākā pārklāšanās ir koplietojamā WebView arhitektūra, kas ļauj dinamiski modificēt ļaunprātīgās slodzes pēc izvietošanas.

Izmeklētāji arī novēroja, ka Advantage Web Marketing LLC ne tikai piedalījās ļaunprātīgu reklāmu izplatīšanā, bet arī darbojās kā parakstītāja vienība Windows bāzes reklāmprogrammatūras paraugiem, kas saistīti ar to pašu apdraudējumu kopu. Šie atklājumi vēl vairāk nostiprina saistību starp dažādajām kampaņām.

Pastāvīga un pieaugoša apdraudējuma ainava

Pāreja no JSCoreRunner uz FlutterShell liecina par ievērojamu tehniskās sarežģītības pieaugumu, izmantojot CL-CRI-1089. Uzlabotas ļaunprogrammatūras izstrādes, liela mēroga ļaunprātīgas reklāmas operāciju un pārbaudītu čaulas uzņēmumu izmantošanas apvienojums, lai apietu reklāmas platformas kontroli, uzsver grupas taktikas pieaugošo efektivitāti.

Koordinēta vairāku aizsega organizāciju izmantošana kopā ar jaunu FlutterShell variantu straujo parādīšanos liecina, ka operācija FlutterBridge joprojām ir aktīvs un mainīgs drauds. Drošības pētnieki brīdina, ka kampaņa vēl nebūt nav beigusies un, visticamāk, turpinās pielāgot savas metodes, lai mērķētu uz macOS lietotājiem visā pasaulē.

Tendences

CPanel konta jaunināšanas paziņojuma e-pasta...

Pikšķerēšana, Mēstules
Ar negaidītiem e-pastiem, kas rada steidzamības sajūtu, vienmēr jāizturas piesardzīgi. Kibernoziedznieki bieži uzdodas par uzticamiem zīmoliem un pakalpojumiem, lai maldinātu adresātus atklāt sensitīvu informāciju vai lejupielādēt ļaunprātīgu saturu. cPanel konta jaunināšanas paziņojuma e-pasta krāpniecība ir viena no šādām pikšķerēšanas kampaņām. Lai gan šķiet, ka ziņojumi nāk no cPanel, tie...

Visvairāk skatīts

Notiek ielāde...