FlutterShell macOS-bakdør

Med Mezo i Mac Malware, Bakdører

Oversett til:

Forskere innen nettsikkerhet har avdekket en storstilt macOS-skadelig reklameoperasjon kjent som Operation FlutterBridge, som er ansvarlig for å distribuere en nylig identifisert bakdør kalt FlutterShell. Kampanjen representerer den siste utviklingen av en trusselklynge som tidligere var assosiert med JSCoreRunner (også kjent som FileRipple), en ondsinnet aktivitet som først ble dokumentert i august 2025.

Den nettkriminelle gruppen bak begge angrepskjedene spores som CL-CRI-1089 og antas å ha vært aktiv siden minst 2023. Sikkerhetsanalytikere ser på FlutterShell som et betydelig fremskritt i gruppens evner og infrastruktur.

Innholdsfortegnelse

Fra reklameprogrammer til full bakdørfunksjonalitet

FlutterShell er utviklet med Googles Flutter-rammeverk, og leveres gjennom ondsinnede skrivebordsapplikasjoner som i utgangspunktet ser legitime ut. Selv om skadevaren inkluderer annonsefunksjonalitet, strekker dens funksjoner seg langt utover uønsket reklame.

Skadevaren kan:

Utfør vilkårlige skallkommandoer på infiserte systemer.
Samhandle med og manipulere filer i filsystemet.
Eksfiltrer miljøvariabler og systeminformasjon.
Utfør systemfingeravtrykk.
Stjel data fra nettleserøkter.

Forskere observerte ondsinnet aktivitet som involverte FlutterShell så sent som i mars 2026, noe som indikerer at kampanjen fortsatt er aktiv.

Et voksende økosystem av skadelig programvare knyttet til TamperedChef

FlutterShell er ikke en isolert trussel. Operasjoner som tilskrives CL-CRI-1089 inkluderer også Recipe Lister og Calendoromatic, begge assosiert med den bredere TamperedChef-kampanjen, også kjent som EvilAI.

TamperedChef-kampanjer er avhengige av trojanere som driver produktivitetsprogrammer for å distribuere potensielt uønskede programmer (PUP-er) og reklameprogrammer. Disse ondsinnede programmene markedsføres gjennom villedende reklamekampanjer som er utformet for å overbevise brukere om at de laster ned legitim programvare.

Ondsinnet reklame drevet av Shell-selskaper

Et sentralt element i operasjonen er et omfattende nettverk for skadelig reklame som utnytter Google- og YouTube-annonser. Angriperne bruker flere Google-verifiserte skallselskaper til å publisere og markedsføre ondsinnede annonser, noe som øker troverdigheten til kampanjene sine og hjelper dem med å unngå gransking av reklameplattformer.

Blant selskapene som er knyttet til operasjonen er:

AdsParkPro LTD, Advantage Web Marketing LLC og SOFT WE ART LIMITED (nå opererer som PACIFIC TRADE SOLUTIONS LTD).
Ytterligere registre fra YouControl og Storbritannias Companies House-register indikerer forbindelser mellom disse enhetene og ukrainske individer.

Annonsene retter seg primært mot macOS-brukere i USA, Canada, Australia, Frankrike og Tyskland. Selv om de tilknyttede Google Ads-kontoene ikke lenger er tilgjengelige via Google Ads Transparency Center, fortsetter historiske registreringer å avsløre forbindelser mellom de involverte enhetene.

Nettleserkapring gjennom pålitelige applikasjoner

Når den er kjørt, endrer FlutterShell Google Chrome-konfigurasjonsfiler for å omdirigere all nettlesertrafikk gjennom angriperkontrollerte mellomliggende nettsteder fulle av annonser. Denne nettleserkapringsteknikken lar trusselaktører generere inntekter samtidig som de opprettholder kontroll over brukerens nettleseraktivitet.

Spesielt bekymringsfullt er det faktum at alle analyserte prøver ble signert med gyldige Apple Developer ID-er og bestod Apples notariseringsprosess. Som et resultat identifiserte ikke Apples automatiserte sikkerhetsmekanismer applikasjonene som skadelige da de ble sendt inn.

WebView-arkitektur muliggjør dynamisk utvikling av skadelig programvare

En av FlutterShells mest karakteristiske kjennetegn er bruken av en WebView-basert arkitektur kombinert med en JavaScript-til-native kommunikasjonsbro. I denne modellen bygger applikasjonen inn en nettleserkomponent som viser webinnhold samtidig som JavaScript-koden kommuniserer direkte med native systemfunksjoner.

I stedet for å bygge inn ondsinnet logikk direkte i applikasjonens binærfil, lagrer trusselaktørene betydelige deler av den skadelige programvarens funksjonalitet på eksterne nettsteder de kontrollerer. Denne tilnærmingen gir flere fordeler:

Skadelig programvares oppførsel kan endres i sanntid uten å kompilere applikasjonen på nytt.
Ny funksjonalitet kan introduseres uten å distribuere oppdaterte binærfiler for skadelig programvare.
Deteksjon blir vanskeligere fordi den ondsinnede kjernelogikken ligger utenfor det installerte programmet.

Denne arkitekturen gir angripere eksepsjonell fleksibilitet og tillater rask tilpasning til defensive tiltak.

Flere varianter signaliserer aktiv utvikling

Forskere har identifisert tre kjente FlutterShell-varianter: PodcastsLounge, PDF-Brain og PDF-Ninja. Analyse av angripernes infrastruktur avdekket ufullstendige JavaScript-funksjoner og uferdige kodekomponenter, noe som tyder på at utviklingen pågår.

Flere varianter, spesielt PDF-Brain og PDF-Ninja, har funksjoner for dokumentsammendrag drevet av kunstig intelligens. Dokumenter som sendes inn for sammendrag blir imidlertid først rutet gjennom angriperkontrollerte servere før behandling, noe som skaper betydelige personvern- og sikkerhetsproblemer for berørte brukere.

Sterke tekniske koblinger til tidligere kampanjer

FlutterShell har bemerkelsesverdige likheter med tidligere skadevarefamilier knyttet til CL-CRI-1089, spesielt Calendaromatic og Recipe Lister. Den mest åpenbare overlappingen er den delte WebView-baserte arkitekturen, som muliggjør dynamisk modifisering av skadelige nyttelaster etter utrulling.

Etterforskerne observerte også at Advantage Web Marketing LLC ikke bare deltok i distribusjon av ondsinnede annonser, men også fungerte som signeringsenhet for Windows-baserte reklameprogrammer knyttet til samme trusselklynge. Disse funnene styrker ytterligere forbindelsene mellom de ulike kampanjene.

Et vedvarende og eskalerende trussellandskap

Overgangen fra JSCoreRunner til FlutterShell viser en betydelig økning i teknisk sofistikering med CL-CRI-1089. Kombinasjonen av avansert utvikling av skadelig programvare, storskala skadelig reklame og bruk av verifiserte skallselskaper for å omgå kontroller av annonseplattformer fremhever den økende effektiviteten til gruppens taktikker.

Den koordinerte bruken av flere frontorganisasjoner, sammen med den raske fremveksten av nye FlutterShell-varianter, tyder på at Operasjon FlutterBridge fortsatt er en aktiv og utviklende trussel. Sikkerhetsforskere advarer om at kampanjen langt fra er over, og at den sannsynligvis vil fortsette å tilpasse teknikkene sine for å målrette macOS-brukere over hele verden.

EnigmaSofts betalingsprosessor, Digital River GmbH, har ingen innvirkning på SpyHunter-kundenes anti-malware-beskyttelse

Søk

Endre region

FlutterShell macOS-bakdør

Fra reklameprogrammer til full bakdørfunksjonalitet

Et voksende økosystem av skadelig programvare knyttet til TamperedChef

Ondsinnet reklame drevet av Shell-selskaper

Nettleserkapring gjennom pålitelige applikasjoner

WebView-arkitektur muliggjør dynamisk utvikling av skadelig programvare

Flere varianter signaliserer aktiv utvikling

Sterke tekniske koblinger til tidligere kampanjer

Et vedvarende og eskalerende trussellandskap

Legg inn kommentar

Trender

Lantixprostream.co.in

Vitisubiferive.com

E-postsvindel om varsel om oppgradering av cPanel-konto

Mest sett

Eporner.com

Fuq.com

XHAMSTER Ransomware