Oferta rabatowa na wiele licencji
Baza danych zagrożeń Malware na Maca Tylne drzwi FlutterShell macOS

Tylne drzwi FlutterShell macOS

Do Mezo w Malware na Maca, Tylne drzwi
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli zakrojoną na szeroką skalę operację złośliwego oprogramowania reklamowego na macOS, znaną jako operacja FlutterBridge, odpowiedzialną za dystrybucję nowo zidentyfikowanego backdoora o nazwie FlutterShell. Kampania ta stanowi najnowszą ewolucję klastra zagrożeń wcześniej powiązanego z JSCoreRunner (znanym również jako FileRipple), szkodliwą aktywnością udokumentowaną po raz pierwszy w sierpniu 2025 roku.

Grupa cyberprzestępców stojąca za obydwoma łańcuchami ataków ma numer CL-CRI-1089 i uważa się, że jest aktywna co najmniej od 2023 roku. Analitycy ds. bezpieczeństwa uważają FlutterShell za znaczący postęp w zakresie możliwości i infrastruktury grupy.

Od adware’u do pełnej funkcjonalności backdoora

Opracowany w oparciu o framework Flutter firmy Google, FlutterShell jest dostarczany za pośrednictwem złośliwych aplikacji desktopowych, które na pierwszy rzut oka wydają się legalne. Chociaż złośliwe oprogramowanie zawiera funkcje adware, jego możliwości wykraczają daleko poza niechciane reklamy.

Szkodliwe oprogramowanie może:

  • Wykonywanie dowolnych poleceń powłoki w zainfekowanych systemach.
  • Interakcja z plikami i manipulowanie nimi w systemie plików.
  • Wyekstrahuj zmienne środowiskowe i informacje o systemie.
  • Przeprowadź odcisk palca systemu.
  • Kradzież danych sesji przeglądarki.

Badacze zaobserwowali złośliwą aktywność związaną z FlutterShell dopiero w marcu 2026 r., co wskazuje, że kampania nadal jest aktywna.

Rozwijający się ekosystem złośliwego oprogramowania powiązany z TamperedChef

FlutterShell nie jest odosobnionym zagrożeniem. Operacje przypisywane CL-CRI-1089 obejmują również Recipe Lister i Calendaromatic, oba powiązane z szerszą kampanią TamperedChef, znaną również jako EvilAI.

Kampanie TamperedChef wykorzystują trojańskie aplikacje biurowe do dystrybucji potencjalnie niechcianych programów (PUP) i adware. Te złośliwe aplikacje są promowane za pomocą zwodniczych kampanii reklamowych, mających na celu przekonanie użytkowników, że pobierają legalne narzędzia.

Złośliwa reklama generowana przez firmy typu shell

Kluczowym elementem operacji jest rozległa sieć złośliwych reklam, która wykorzystuje reklamy Google i YouTube. Atakujący wykorzystują wiele firm-wydmuszek zweryfikowanych przez Google do publikowania i promowania złośliwych reklam, zwiększając wiarygodność swoich kampanii i pomagając im uniknąć kontroli platform reklamowych.

Wśród firm powiązanych z operacją znajdują się:

AdsParkPro LTD, Advantage Web Marketing LLC i SOFT WE ART LIMITED (obecnie działająca jako PACIFIC TRADE SOLUTIONS LTD).
Dodatkowe dane z YouControl i rejestru Companies House w Wielkiej Brytanii wskazują na powiązania między tymi podmiotami a obywatelami Ukrainy.

Reklamy są kierowane głównie do użytkowników systemu macOS ze Stanów Zjednoczonych, Kanady, Australii, Francji i Niemiec. Chociaż powiązane konta Google Ads nie są już dostępne w Centrum Przejrzystości Google Ads, dane historyczne nadal ujawniają powiązania między zaangażowanymi podmiotami.

Przejęcie kontroli nad przeglądarką za pośrednictwem zaufanych aplikacji

Po uruchomieniu FlutterShell modyfikuje pliki konfiguracyjne przeglądarki Google Chrome, aby przekierować cały ruch przeglądarki przez kontrolowane przez atakujących strony pośredniczące wypełnione reklamami. Ta technika przechwytywania przeglądarki umożliwia atakującym generowanie przychodów przy jednoczesnym zachowaniu kontroli nad aktywnością użytkowników w sieci.

Szczególnie niepokojący jest fakt, że każda analizowana próbka została podpisana przy użyciu ważnych identyfikatorów Apple Developer ID i pomyślnie przeszła proces notarialny Apple. W rezultacie zautomatyzowane mechanizmy bezpieczeństwa Apple nie zidentyfikowały aplikacji jako złośliwych w momencie ich przesłania.

Architektura WebView umożliwia dynamiczną ewolucję złośliwego oprogramowania

Jedną z najbardziej charakterystycznych cech FlutterShell jest wykorzystanie architektury opartej na WebView w połączeniu z mostem komunikacyjnym JavaScript-natywny. W tym modelu aplikacja osadza komponent przeglądarki, który wyświetla zawartość internetową, umożliwiając jednocześnie kodowi JavaScript bezpośrednią komunikację z natywnymi funkcjami systemu.

Zamiast osadzać złośliwą logikę bezpośrednio w kodzie binarnym aplikacji, atakujący hostują znaczną część funkcjonalności złośliwego oprogramowania na zdalnych stronach internetowych, nad którymi sprawują kontrolę. Takie podejście zapewnia kilka korzyści:

Zachowanie złośliwego oprogramowania można modyfikować w czasie rzeczywistym, bez konieczności ponownej kompilacji aplikacji.
Nową funkcjonalność można wprowadzić bez konieczności dystrybucji zaktualizowanych plików binarnych złośliwego oprogramowania.
Wykrycie staje się trudniejsze, ponieważ podstawowa logika złośliwego oprogramowania znajduje się poza zainstalowaną aplikacją.

Taka architektura zapewnia atakującym wyjątkową elastyczność i pozwala na szybką adaptację do środków obronnych.

Wiele wariantów sygnalizuje aktywny rozwój

Badacze zidentyfikowali trzy znane warianty FlutterShell: PodcastsLounge, PDF-Brain i PDF-Ninja. Analiza infrastruktury atakujących ujawniła niekompletne funkcje JavaScript i niedokończone komponenty kodu, co sugeruje, że prace rozwojowe wciąż trwają.

Kilka wariantów, w szczególności PDF-Brain i PDF-Ninja, zawiera funkcje podsumowania dokumentów oparte na sztucznej inteligencji. Jednak dokumenty przesłane do podsumowania są najpierw kierowane przez serwery kontrolowane przez atakujących, zanim zostaną przetworzone, co stwarza poważne obawy dotyczące prywatności i bezpieczeństwa użytkowników.

Silne powiązania techniczne z wcześniejszymi kampaniami

FlutterShell wykazuje wyraźne podobieństwa do wcześniejszych rodzin złośliwego oprogramowania powiązanych z CL-CRI-1089, w szczególności Calendaromatic i Recipe Lister. Najbardziej oczywistym podobieństwem jest wspólna architektura oparta na WebView, która umożliwia dynamiczną modyfikację złośliwych ładunków po wdrożeniu.

Śledczy zaobserwowali również, że Advantage Web Marketing LLC nie tylko uczestniczyła w dystrybucji złośliwych reklam, ale także działała jako podmiot podpisujący próbki adware dla systemu Windows, powiązane z tym samym zbiorem zagrożeń. Odkrycia te dodatkowo wzmacniają powiązania między różnymi kampaniami.

Krajobraz trwałych i narastających zagrożeń

Przejście z JSCoreRunner na FlutterShell świadczy o znacznym wzroście zaawansowania technicznego, co potwierdza CL-CRI-1089. Połączenie zaawansowanego tworzenia złośliwego oprogramowania, zakrojonych na szeroką skalę działań z zakresu malvertisingu oraz wykorzystywania zweryfikowanych firm-wydmuszek do omijania kontroli platform reklamowych podkreśla rosnącą skuteczność taktyk grupy.

Skoordynowane wykorzystanie wielu organizacji przykrywkowych, wraz z szybkim pojawianiem się nowych wariantów FlutterShell, sugeruje, że operacja FlutterBridge pozostaje aktywnym i ewoluującym zagrożeniem. Badacze bezpieczeństwa ostrzegają, że kampania jest daleka od zakończenia i prawdopodobnie będzie nadal dostosowywać swoje techniki, aby atakować użytkowników macOS na całym świecie.

Popularne

Oszustwo e-mailowe z powiadomieniem o aktualizacji...

Phishing, Spam
Nieoczekiwane wiadomości e-mail, które wywołują poczucie pilności, należy zawsze traktować z ostrożnością. Cyberprzestępcy często podszywają się pod zaufane marki i usługi, aby nakłonić odbiorców do ujawnienia poufnych informacji lub pobrania złośliwej zawartości. Oszustwo e-mailowe z powiadomieniem o aktualizacji konta cPanel jest jedną z takich kampanii phishingowych. Chociaż wiadomości...

Najczęściej oglądane

Ładowanie...