Pintu Belakang macOS FlutterShell

Menjelang Mezo pada Mac Malware, Pintu belakang

Terjemahkan ke

Penyelidik keselamatan siber telah menemui satu operasi malvertisasi macOS berskala besar yang dikenali sebagai Operasi FlutterBridge, yang bertanggungjawab mengedarkan pintu belakang yang baru dikenal pasti bernama FlutterShell. Kempen ini mewakili evolusi terkini kluster ancaman yang sebelum ini dikaitkan dengan JSCoreRunner (juga dikenali sebagai FileRipple), satu aktiviti berniat jahat yang pertama kali didokumenkan pada Ogos 2025.

Kumpulan penjenayah siber di sebalik kedua-dua rantaian serangan itu dikesan sebagai CL-CRI-1089 dan dipercayai telah aktif sekurang-kurangnya sejak 2023. Penganalisis keselamatan melihat FlutterShell sebagai kemajuan ketara dalam keupayaan dan infrastruktur kumpulan itu.

Isi kandungan

Daripada Adware kepada Fungsi Backdoor Penuh

Dibangunkan menggunakan rangka kerja Flutter Google, FlutterShell disampaikan melalui aplikasi desktop berniat jahat yang pada mulanya kelihatan sah. Walaupun perisian hasad tersebut merangkumi fungsi adware, keupayaannya melangkaui pengiklanan yang tidak diingini.

Perisian hasad ini boleh:

Laksanakan arahan shell sewenang-wenangnya pada sistem yang dijangkiti.
Berinteraksi dan memanipulasi fail dalam sistem fail.
Pembolehubah persekitaran dan maklumat sistem eksfiltrat.
Menjalankan pengesanan cap jari sistem.
Curi data sesi pelayar.

Para penyelidik telah memerhatikan aktiviti berniat jahat yang melibatkan FlutterShell seawal Mac 2026, menunjukkan bahawa kempen tersebut masih aktif.

Ekosistem Perisian Hasad yang Semakin Berkembang Berkaitan dengan TamperedChef

FlutterShell bukanlah ancaman terpencil. Operasi yang dikaitkan dengan CL-CRI-1089 juga termasuk Recipe Lister dan Calenderomatic, kedua-duanya dikaitkan dengan kempen TamperedChef yang lebih luas, juga dikenali sebagai EvilAI.

Kempen TamperedChef bergantung pada aplikasi produktiviti yang ditrojankan untuk mengedarkan program yang mungkin tidak diingini (PUP) dan adware. Aplikasi berniat jahat ini dipromosikan melalui kempen pengiklanan yang mengelirukan yang direka untuk meyakinkan pengguna bahawa mereka sedang memuat turun alat perisian yang sah.

Pengiklanan Berniat Jahat Dikuasakan oleh Syarikat Shell

Elemen utama operasi ini ialah rangkaian malware yang luas yang memanfaatkan iklan Google dan YouTube. Penyerang menggunakan pelbagai syarikat shell yang disahkan Google untuk menerbitkan dan mempromosikan iklan berniat jahat, meningkatkan kredibiliti kempen mereka dan membantu mereka mengelak daripada penelitian platform pengiklanan.

Antara syarikat yang berkaitan dengan operasi ini ialah:

AdsParkPro LTD, Advantage Web Marketing LLC dan SOFT WE ART LIMITED (kini beroperasi sebagai PACIFIC TRADE SOLUTIONS LTD).
Rekod tambahan daripada YouControl dan daftar Syarikat United Kingdom menunjukkan hubungan antara entiti ini dan individu Ukraine.

Iklan-iklan tersebut terutamanya menyasarkan pengguna macOS yang terletak di Amerika Syarikat, Kanada, Australia, Perancis dan Jerman. Walaupun akaun Google Ads yang berkaitan tidak lagi boleh diakses melalui Pusat Ketelusan Google Ads, rekod sejarah terus mendedahkan hubungan antara entiti yang terlibat.

Rampasan Pelayar Melalui Aplikasi Dipercayai

Setelah dilaksanakan, FlutterShell mengubah suai fail konfigurasi Google Chrome untuk mengalihkan semua trafik pelayar melalui laman web perantara yang dikawal oleh penyerang yang dipenuhi dengan iklan. Teknik rampasan pelayar ini membolehkan pelaku ancaman menjana pendapatan sambil mengekalkan kawalan ke atas aktiviti pelayaran pengguna.

Amat membimbangkan ialah hakikat bahawa setiap sampel yang dianalisis telah ditandatangani menggunakan ID Pembangun Apple yang sah dan berjaya lulus proses notarisasi Apple. Akibatnya, mekanisme keselamatan automatik Apple tidak mengenal pasti aplikasi tersebut sebagai berniat jahat pada masa ia dihantar.

Senibina WebView Membolehkan Evolusi Perisian Hasad Dinamik

Salah satu ciri FlutterShell yang paling tersendiri ialah penggunaan seni bina berasaskan WebView yang digabungkan dengan jambatan komunikasi JavaScript-ke-natif. Dalam model ini, aplikasi ini membenamkan komponen pelayar yang memaparkan kandungan web sambil membenarkan kod JavaScript berkomunikasi secara langsung dengan fungsi sistem natif.

Daripada membenamkan logik berniat jahat terus ke dalam binari aplikasi, pelaku ancaman tersebut menempatkan sebahagian besar fungsi perisian hasad di laman web jauh di bawah kawalan mereka. Pendekatan ini memberikan beberapa kelebihan:

Tingkah laku perisian hasad boleh diubah suai dalam masa nyata tanpa perlu mengkompil semula aplikasi.
Fungsi baharu boleh diperkenalkan tanpa mengedarkan binari perisian hasad yang dikemas kini.
Pengesanan menjadi lebih sukar kerana logik hasad teras berada di luar aplikasi yang dipasang.

Seni bina ini memberikan penyerang fleksibiliti yang luar biasa dan membolehkan penyesuaian pantas kepada langkah-langkah pertahanan.

Pelbagai Varian Isyarat Pembangunan Aktif

Penyelidik telah mengenal pasti tiga varian FlutterShell yang diketahui: PodcastsLounge, PDF-Brain dan PDF-Ninja. Analisis infrastruktur penyerang mendedahkan fungsi JavaScript yang tidak lengkap dan komponen kod yang belum selesai, menunjukkan bahawa pembangunan sedang dijalankan.

Beberapa varian, terutamanya PDF-Brain dan PDF-Ninja, menggabungkan ciri ringkasan dokumen berkuasa kecerdasan buatan. Walau bagaimanapun, dokumen yang diserahkan untuk ringkasan dihalakan terlebih dahulu melalui pelayan yang dikawal oleh penyerang sebelum diproses, mewujudkan kebimbangan privasi dan keselamatan yang ketara bagi pengguna yang terjejas.

Pautan Teknikal yang Kukuh kepada Kempen Terdahulu

FlutterShell berkongsi persamaan ketara dengan keluarga perisian hasad terdahulu yang dikaitkan dengan CL-CRI-1089, terutamanya Calenderomatic dan Recipe Lister. Pertindihan yang paling jelas ialah seni bina berasaskan WebView yang dikongsi, yang membolehkan pengubahsuaian dinamik muatan berniat jahat selepas penggunaan.

Penyiasat juga memerhatikan bahawa Advantage Web Marketing LLC bukan sahaja mengambil bahagian dalam mengedarkan iklan berniat jahat tetapi juga bertindak sebagai entiti penandatangan untuk sampel adware berasaskan Windows yang dikaitkan dengan kluster ancaman yang sama. Penemuan ini mengukuhkan lagi hubungan antara pelbagai kempen.

Landskap Ancaman yang Berterusan dan Meningkat

Peralihan daripada JSCoreRunner kepada FlutterShell menunjukkan peningkatan ketara dalam kecanggihan teknikal oleh CL-CRI-1089. Gabungan pembangunan perisian hasad termaju, operasi malvertising berskala besar dan penggunaan syarikat shell yang disahkan untuk memintas kawalan platform pengiklanan menonjolkan keberkesanan taktik kumpulan yang semakin meningkat.

Penggunaan pelbagai organisasi barisan hadapan yang diselaraskan, berserta kemunculan varian FlutterShell baharu yang pesat, menunjukkan bahawa Operasi FlutterBridge kekal sebagai ancaman yang aktif dan berkembang. Penyelidik keselamatan memberi amaran bahawa kempen ini masih jauh daripada selesai dan berkemungkinan akan terus menyesuaikan tekniknya untuk menyasarkan pengguna macOS di seluruh dunia.

Pemproses Pembayaran EnigmaSoft Pemfailan Digital River GmbH untuk Kebankrapan Tidak Menjejas Perlindungan Anti-Hasad Pelanggan SpyHunter

Cari

Tukar Wilayah

Pintu Belakang macOS FlutterShell

Daripada Adware kepada Fungsi Backdoor Penuh

Ekosistem Perisian Hasad yang Semakin Berkembang Berkaitan dengan TamperedChef

Pengiklanan Berniat Jahat Dikuasakan oleh Syarikat Shell

Rampasan Pelayar Melalui Aplikasi Dipercayai

Senibina WebView Membolehkan Evolusi Perisian Hasad Dinamik

Pelbagai Varian Isyarat Pembangunan Aktif

Pautan Teknikal yang Kukuh kepada Kempen Terdahulu

Landskap Ancaman yang Berterusan dan Meningkat

hantar komen

Trending

Lantixprostream.co.in

Vitisubiferive.com

Notis Naik Taraf Akaun cPanel Penipuan E-mel

Paling banyak dilihat

Eporner.com

Fuq.com

XHAMSTER Ransomware