फ्लटरशेल म्याकोस ब्याकडोर

साइबर सुरक्षा अनुसन्धानकर्ताहरूले अपरेशन फ्लटरब्रिज भनेर चिनिने ठूलो मात्रामा macOS मालभर्टाइजिङ अपरेशन पत्ता लगाएका छन्, जुन फ्लटरशेल नामक नयाँ पहिचान गरिएको ब्याकडोर वितरणको लागि जिम्मेवार छ। यो अभियानले पहिले JSCoreRunner (फाइलरिपलको रूपमा पनि चिनिन्छ) सँग सम्बन्धित खतरा क्लस्टरको पछिल्लो विकासलाई प्रतिनिधित्व गर्दछ, जुन अगस्ट २०२५ मा पहिलो पटक दस्तावेज गरिएको दुर्भावनापूर्ण गतिविधि हो।

दुबै आक्रमण शृङ्खलाहरू पछाडि रहेको साइबर अपराधी समूहलाई CL-CRI-1089 को रूपमा ट्र्याक गरिएको छ र यो कम्तिमा २०२३ देखि सक्रिय रहेको विश्वास गरिन्छ। सुरक्षा विश्लेषकहरूले FlutterShell लाई समूहको क्षमता र पूर्वाधारमा एक महत्वपूर्ण प्रगतिको रूपमा हेर्छन्।

एडवेयर देखि पूर्ण ब्याकडोर कार्यक्षमता सम्म

गुगलको फ्लटर फ्रेमवर्क प्रयोग गरेर विकसित, फ्लटरशेल सुरुमा वैध देखिने दुर्भावनापूर्ण डेस्कटप अनुप्रयोगहरू मार्फत डेलिभर गरिन्छ। मालवेयरमा एडवेयर कार्यक्षमता समावेश भए तापनि, यसको क्षमताहरू अनावश्यक विज्ञापनभन्दा धेरै टाढा फैलिएका छन्।

मालवेयरले गर्न सक्छ:

• संक्रमित प्रणालीहरूमा मनमानी शेल आदेशहरू कार्यान्वयन गर्नुहोस्।
• फाइल प्रणाली भित्र फाइलहरूसँग अन्तरक्रिया र हेरफेर गर्नुहोस्।
• वातावरण चर र प्रणाली जानकारी एक्सफिल्ट्रेट गर्नुहोस्।
• प्रणाली फिंगरप्रिन्टिङ सञ्चालन गर्नुहोस्।
• ब्राउजर सत्र डेटा चोर्नुहोस्।

अनुसन्धानकर्ताहरूले मार्च २०२६ मा फ्लटरशेलसँग सम्बन्धित दुर्भावनापूर्ण गतिविधि अवलोकन गरे, जसले अभियान सक्रिय रहेको संकेत गर्छ।

TamperedChef सँग जोडिएको बढ्दो मालवेयर इकोसिस्टम

FlutterShell कुनै पृथक खतरा होइन। CL-CRI-1089 लाई श्रेय दिइएको सञ्चालनमा रेसिपी लिस्टर र क्यालेन्डरोमेटिक पनि समावेश छन्, दुबै फराकिलो TamperedChef अभियानसँग सम्बन्धित छन्, जसलाई EvilAI पनि भनिन्छ।

TamperedChef अभियानहरू सम्भावित रूपमा अवांछित कार्यक्रमहरू (PUPs) र एडवेयर वितरण गर्न ट्रोजनाइज्ड उत्पादकता अनुप्रयोगहरूमा भर पर्छन्। यी दुर्भावनापूर्ण अनुप्रयोगहरू प्रयोगकर्ताहरूलाई उनीहरूले वैध सफ्टवेयर उपकरणहरू डाउनलोड गरिरहेका छन् भनी विश्वस्त पार्न डिजाइन गरिएको भ्रामक विज्ञापन अभियानहरू मार्फत प्रचार गरिन्छ।

शेल कम्पनीहरूद्वारा सञ्चालित दुर्भावनापूर्ण विज्ञापन

यस अपरेशनको एक प्रमुख तत्व भनेको गुगल र युट्युब विज्ञापनहरूको प्रयोग गर्ने एक व्यापक मालवर्टाइजिङ नेटवर्क हो। आक्रमणकारीहरूले दुर्भावनापूर्ण विज्ञापनहरू प्रकाशित गर्न र प्रवर्द्धन गर्न धेरै गुगल-प्रमाणित शेल कम्पनीहरू प्रयोग गर्छन्, जसले गर्दा उनीहरूको अभियानहरूको विश्वसनीयता बढ्छ र विज्ञापन प्लेटफर्मको छानबिनबाट बच्न मद्दत गर्छन्।

सञ्चालनसँग जोडिएका कम्पनीहरू मध्ये निम्न हुन्:

AdsParkPro LTD, Advantage Web Marketing LLC, र SOFT WE ART LTD (अहिले PACIFIC TRADE SOLUTIONS LTD को रूपमा सञ्चालनमा छन्)।
YouControl र युनाइटेड किंगडमको कम्पनी हाउस रजिस्ट्रीबाट थप रेकर्डहरूले यी संस्थाहरू र युक्रेनी व्यक्तिहरू बीचको सम्बन्धलाई संकेत गर्दछ।

विज्ञापनहरूले मुख्यतया संयुक्त राज्य अमेरिका, क्यानडा, अष्ट्रेलिया, फ्रान्स र जर्मनीमा अवस्थित macOS प्रयोगकर्ताहरूलाई लक्षित गर्छन्। यद्यपि सम्बन्धित Google विज्ञापन खाताहरू अब Google विज्ञापन पारदर्शिता केन्द्र मार्फत पहुँचयोग्य छैनन्, ऐतिहासिक रेकर्डहरूले संलग्न संस्थाहरू बीचको सम्बन्ध प्रकट गर्न जारी राख्छन्।

विश्वसनीय अनुप्रयोगहरू मार्फत ब्राउजर अपहरण

एकपटक कार्यान्वयन भएपछि, FlutterShell ले विज्ञापनहरूले भरिएका आक्रमणकारी-नियन्त्रित मध्यस्थ वेबसाइटहरू मार्फत सबै ब्राउजर ट्राफिकलाई रिडिरेक्ट गर्न Google Chrome कन्फिगरेसन फाइलहरूलाई परिमार्जन गर्दछ। यो ब्राउजर अपहरण प्रविधिले प्रयोगकर्ता ब्राउजिङ गतिविधिमा नियन्त्रण कायम राख्दै खतरा अभिनेताहरूलाई राजस्व उत्पन्न गर्न सक्षम बनाउँछ।

विशेष गरी चिन्ताजनक कुरा के छ भने प्रत्येक विश्लेषण गरिएको नमूना मान्य एप्पल विकासकर्ता आईडीहरू प्रयोग गरेर हस्ताक्षर गरिएको थियो र एप्पलको नोटराइजेशन प्रक्रिया सफलतापूर्वक पारित गरिएको थियो। फलस्वरूप, एप्पलको स्वचालित सुरक्षा संयन्त्रहरूले अनुप्रयोगहरू पेश गर्दा दुर्भावनापूर्ण रूपमा पहिचान गरेनन्।

वेबभ्यू आर्किटेक्चरले गतिशील मालवेयर इभोलुसनलाई सक्षम बनाउँछ

FlutterShell को सबैभन्दा विशिष्ट विशेषताहरू मध्ये एक भनेको JavaScript-to-native कम्युनिकेसन ब्रिजसँग जोडिएको WebView-आधारित आर्किटेक्चरको प्रयोग हो। यस मोडेलमा, अनुप्रयोगले ब्राउजर कम्पोनेन्टलाई इम्बेड गर्दछ जसले वेब सामग्री प्रदर्शन गर्दछ जबकि JavaScript कोडलाई नेटिभ सिस्टम प्रकार्यहरूसँग प्रत्यक्ष सञ्चार गर्न अनुमति दिन्छ।

एप्लिकेसन बाइनरीमा सिधै दुर्भावनापूर्ण तर्कलाई इम्बेड गर्नुको सट्टा, खतरा अभिनेताहरूले मालवेयरको कार्यक्षमताको महत्त्वपूर्ण भागहरू आफ्नो नियन्त्रणमा रहेका टाढाका वेबसाइटहरूमा होस्ट गर्छन्। यो दृष्टिकोणले धेरै फाइदाहरू प्रदान गर्दछ:

अनुप्रयोग पुन: कम्पाइल नगरी मालवेयर व्यवहारलाई वास्तविक समयमा परिमार्जन गर्न सकिन्छ।
अद्यावधिक गरिएको मालवेयर बाइनरीहरू वितरण नगरी नयाँ कार्यक्षमता प्रस्तुत गर्न सकिन्छ।
कोर मालिसियस तर्क स्थापित अनुप्रयोग बाहिर रहेको हुनाले पत्ता लगाउन गाह्रो हुन्छ।

यो वास्तुकलाले आक्रमणकारीहरूलाई असाधारण लचिलोपन दिन्छ र रक्षात्मक उपायहरूमा द्रुत अनुकूलनलाई अनुमति दिन्छ।

बहु भेरियन्टहरू सक्रिय विकासको संकेत दिन्छन्

अनुसन्धानकर्ताहरूले तीन ज्ञात फ्लटरशेल भेरियन्टहरू पहिचान गरेका छन्: पोडकास्ट लाउन्ज, पीडीएफ-ब्रेन, र पीडीएफ-निन्जा। आक्रमणकारीहरूको पूर्वाधारको विश्लेषणले अपूर्ण जाभास्क्रिप्ट प्रकार्यहरू र अधूरा कोड कम्पोनेन्टहरू पत्ता लगायो, जसले विकास जारी रहेको सुझाव दिन्छ।

धेरै प्रकारहरू, विशेष गरी PDF-Brain र PDF-Ninja, मा कृत्रिम बुद्धिमत्ता-संचालित कागजात सारांशीकरण सुविधाहरू समावेश छन्। यद्यपि, सारांशीकरणको लागि पेश गरिएका कागजातहरू प्रशोधन गर्नु अघि आक्रमणकारी-नियन्त्रित सर्भरहरू मार्फत पठाइन्छ, जसले प्रभावित प्रयोगकर्ताहरूको लागि महत्त्वपूर्ण गोपनीयता र सुरक्षा चिन्ताहरू सिर्जना गर्दछ।

पहिलेका अभियानहरूमा बलियो प्राविधिक लिङ्कहरू

FlutterShell ले CL-CRI-1089 सँग जोडिएका पहिलेका मालवेयर परिवारहरूसँग उल्लेखनीय समानताहरू साझा गर्दछ, विशेष गरी क्यालेन्डरोमेटिक र रेसिपी लिस्टर। सबैभन्दा स्पष्ट ओभरल्याप साझा वेबभ्यू-आधारित वास्तुकला हो, जसले तैनाती पछि दुर्भावनापूर्ण पेलोडहरूको गतिशील परिमार्जन सक्षम गर्दछ।

अन्वेषकहरूले यो पनि अवलोकन गरे कि एडभान्टेज वेब मार्केटिंग एलएलसीले दुर्भावनापूर्ण विज्ञापनहरू वितरणमा मात्र भाग लिएन तर उही खतरा क्लस्टरसँग सम्बन्धित विन्डोज-आधारित एडवेयर नमूनाहरूको लागि हस्ताक्षर गर्ने संस्थाको रूपमा पनि काम गर्‍यो। यी निष्कर्षहरूले विभिन्न अभियानहरू बीचको सम्बन्धलाई अझ बलियो बनाउँछन्।

निरन्तर र बढ्दो खतराको परिदृश्य

JSCoreRunner बाट FlutterShell मा संक्रमणले CL-CRI-1089 द्वारा प्राविधिक परिष्कारमा उल्लेखनीय वृद्धि देखाउँछ। उन्नत मालवेयर विकास, ठूलो मात्रामा मालवर्टाइजिङ अपरेशनहरू, र विज्ञापन प्लेटफर्म नियन्त्रणहरू बाइपास गर्न प्रमाणित शेल कम्पनीहरूको प्रयोगको संयोजनले समूहको रणनीतिहरूको बढ्दो प्रभावकारितालाई हाइलाइट गर्दछ।

नयाँ फ्लटरशेल भेरियन्टहरूको द्रुत उदयसँगै धेरै अग्रणी संस्थाहरूको समन्वित प्रयोगले अपरेशन फ्लटरब्रिज एक सक्रिय र विकसित खतरा बनेको सुझाव दिन्छ। सुरक्षा अनुसन्धानकर्ताहरूले चेतावनी दिएका छन् कि अभियान अझै समाप्त भएको छैन र विश्वव्यापी macOS प्रयोगकर्ताहरूलाई लक्षित गर्न यसको प्रविधिहरू अनुकूलन गर्न जारी राख्ने सम्भावना छ।