Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mac-malware FlutterShell macOS-achterdeur

FlutterShell macOS-achterdeur

Tegen Mezo in Mac-malware, Achterdeurtjes
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben een grootschalige macOS-malvertisingoperatie ontdekt, bekend als Operation FlutterBridge, die verantwoordelijk is voor de verspreiding van een nieuw geïdentificeerde backdoor genaamd FlutterShell. De campagne vertegenwoordigt de nieuwste evolutie van een dreigingscluster dat eerder werd geassocieerd met JSCoreRunner (ook bekend als FileRipple), een kwaadaardige activiteit die voor het eerst werd gedocumenteerd in augustus 2025.

De cybercriminele groep achter beide aanvalsketens wordt geregistreerd onder de naam CL-CRI-1089 en is vermoedelijk al minstens sinds 2023 actief. Beveiligingsanalisten beschouwen FlutterShell als een aanzienlijke vooruitgang in de mogelijkheden en infrastructuur van de groep.

Van adware tot volledige backdoor-functionaliteit

FlutterShell is ontwikkeld met behulp van Google's Flutter-framework en wordt verspreid via kwaadaardige desktopapplicaties die er aanvankelijk legitiem uitzien. Hoewel de malware adwarefunctionaliteit bevat, reiken de mogelijkheden ervan veel verder dan ongewenste reclame.

De malware kan:

  • Voer willekeurige shell-opdrachten uit op geïnfecteerde systemen.
  • Interactie met en manipulatie van bestanden binnen het bestandssysteem.
  • Exfiltreer omgevingsvariabelen en systeeminformatie.
  • Voer systeemvingerafdrukken uit.
  • Browsersessiegegevens stelen.

Onderzoekers hebben tot maart 2026 nog kwaadaardige activiteiten met betrekking tot FlutterShell waargenomen, wat erop wijst dat de campagne nog steeds actief is.

Een groeiend malware-ecosysteem gelinkt aan TamperedChef

FlutterShell is geen op zichzelf staande dreiging. De activiteiten die aan CL-CRI-1089 worden toegeschreven, omvatten ook Recipe Lister en Calendaromatic, die beide verbonden zijn aan de bredere TamperedChef-campagne, ook bekend als EvilAI.

De campagnes van TamperedChef maken gebruik van met Trojaans paard geïnfecteerde productiviteitstoepassingen om potentieel ongewenste programma's (PUP's) en adware te verspreiden. Deze kwaadaardige toepassingen worden gepromoot via misleidende advertentiecampagnes die gebruikers ervan overtuigen dat ze legitieme software downloaden.

Kwaadaardige reclame, mogelijk gemaakt door schijnbedrijven.

Een belangrijk onderdeel van de operatie is een uitgebreid netwerk voor malvertising dat gebruikmaakt van advertenties op Google en YouTube. De aanvallers gebruiken meerdere door Google geverifieerde nepbedrijven om kwaadaardige advertenties te publiceren en te promoten, waardoor de geloofwaardigheid van hun campagnes toeneemt en ze de controle van advertentieplatformen kunnen omzeilen.

Tot de bedrijven die bij de operatie betrokken zijn, behoren:

AdsParkPro LTD, Advantage Web Marketing LLC en SOFT WE ART LIMITED (nu actief als PACIFIC TRADE SOLUTIONS LTD).
Aanvullende gegevens van YouControl en het Britse handelsregister Companies House wijzen op verbanden tussen deze entiteiten en Oekraïense personen.

De advertenties richten zich voornamelijk op macOS-gebruikers in de Verenigde Staten, Canada, Australië, Frankrijk en Duitsland. Hoewel de bijbehorende Google Ads-accounts niet langer toegankelijk zijn via het Google Ads Transparantiecentrum, tonen historische gegevens nog steeds verbanden aan tussen de betrokken entiteiten.

Browserkaping via vertrouwde applicaties

Na uitvoering wijzigt FlutterShell de configuratiebestanden van Google Chrome om al het browserverkeer om te leiden via door de aanvaller beheerde tussenliggende websites vol advertenties. Deze browserkapingstechniek stelt cybercriminelen in staat inkomsten te genereren terwijl ze de controle over het surfgedrag van de gebruiker behouden.

Bijzonder zorgwekkend is het feit dat elk geanalyseerd voorbeeld was ondertekend met geldige Apple Developer ID's en met succes het notariële proces van Apple had doorlopen. Hierdoor hebben de geautomatiseerde beveiligingsmechanismen van Apple de applicaties destijds niet als kwaadaardig aangemerkt.

WebView-architectuur maakt dynamische malware-evolutie mogelijk.

Een van de meest onderscheidende kenmerken van FlutterShell is het gebruik van een op WebView gebaseerde architectuur in combinatie met een communicatiebrug tussen JavaScript en native code. In dit model integreert de applicatie een browsercomponent die webinhoud weergeeft, terwijl JavaScript-code rechtstreeks kan communiceren met native systeemfuncties.

In plaats van kwaadaardige logica direct in het applicatieprogramma te integreren, hosten de aanvallers aanzienlijke delen van de malwarefunctionaliteit op externe websites die ze beheren. Deze aanpak biedt verschillende voordelen:

Het gedrag van malware kan in realtime worden aangepast zonder de applicatie opnieuw te compileren.
Nieuwe functionaliteit kan worden geïntroduceerd zonder bijgewerkte malwarebestanden te verspreiden.
Detectie wordt lastiger omdat de kern van de kwaadaardige logica zich buiten de geïnstalleerde applicatie bevindt.

Deze architectuur biedt aanvallers uitzonderlijke flexibiliteit en maakt snelle aanpassing aan verdedigingsmaatregelen mogelijk.

Meerdere varianten duiden op actieve ontwikkeling.

Onderzoekers hebben drie bekende FlutterShell-varianten geïdentificeerd: PodcastsLounge, PDF-Brain en PDF-Ninja. Analyse van de infrastructuur van de aanvallers bracht onvolledige JavaScript-functies en onafgewerkte codeonderdelen aan het licht, wat erop wijst dat de ontwikkeling nog gaande is.

Verschillende varianten, met name PDF-Brain en PDF-Ninja, bevatten door kunstmatige intelligentie aangedreven functies voor het samenvatten van documenten. Documenten die voor samenvatting worden aangeboden, worden echter eerst via door aanvallers beheerde servers geleid voordat ze worden verwerkt, wat aanzienlijke privacy- en beveiligingsrisico's met zich meebrengt voor de getroffen gebruikers.

Sterke technische verbanden met eerdere campagnes

FlutterShell vertoont opvallende overeenkomsten met eerdere malwarefamilies die in verband worden gebracht met CL-CRI-1089, met name Calendaromatic en Recipe Lister. De meest voor de hand liggende overeenkomst is de gedeelde architectuur op basis van WebView, die dynamische aanpassing van kwaadaardige payloads na implementatie mogelijk maakt.

Onderzoekers constateerden tevens dat Advantage Web Marketing LLC niet alleen betrokken was bij de verspreiding van schadelijke advertenties, maar ook optrad als ondertekenaar van Windows-gebaseerde adware-samples die aan hetzelfde dreigingscluster waren gekoppeld. Deze bevindingen versterken de verbanden tussen de verschillende campagnes.

Een aanhoudend en escalerend dreigingslandschap

De overstap van JSCoreRunner naar FlutterShell toont een aanzienlijke toename in technische verfijning door CL-CRI-1089 aan. De combinatie van geavanceerde malware-ontwikkeling, grootschalige malvertising-operaties en het gebruik van geverifieerde lege vennootschappen om de controlemechanismen van advertentieplatformen te omzeilen, onderstreept de toenemende effectiviteit van de tactieken van de groep.

Het gecoördineerde gebruik van meerdere dekkingsorganisaties, samen met de snelle opkomst van nieuwe FlutterShell-varianten, suggereert dat Operation FlutterBridge een actieve en evoluerende dreiging blijft. Beveiligingsonderzoekers waarschuwen dat de campagne nog lang niet voorbij is en waarschijnlijk zijn technieken zal blijven aanpassen om macOS-gebruikers wereldwijd te treffen.

Trending

Meest bekeken

Bezig met laden...