Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware para Mac Backdoor do FlutterShell para macOS

Backdoor do FlutterShell para macOS

Por Mezo em Malware para Mac, Backdoors
Traduzir Para:

Pesquisadores de cibersegurança descobriram uma operação de malvertising em larga escala para macOS, conhecida como Operação FlutterBridge, responsável pela distribuição de um backdoor recém-identificado chamado FlutterShell. A campanha representa a evolução mais recente de um conjunto de ameaças anteriormente associado ao JSCoreRunner (também conhecido como FileRipple), uma atividade maliciosa documentada pela primeira vez em agosto de 2025.

O grupo de cibercriminosos por trás de ambas as cadeias de ataque é rastreado como CL-CRI-1089 e acredita-se que esteja ativo desde pelo menos 2023. Analistas de segurança consideram o FlutterShell um avanço significativo nas capacidades e infraestrutura do grupo.

De adware a funcionalidade completa de backdoor

Desenvolvido com o framework Flutter do Google, o FlutterShell é distribuído por meio de aplicativos de desktop maliciosos que inicialmente parecem legítimos. Embora o malware inclua funcionalidades de adware, suas capacidades vão muito além da publicidade indesejada.

O malware pode:

  • Executar comandos arbitrários do shell em sistemas infectados.
  • Interagir e manipular arquivos dentro do sistema de arquivos.
  • Exfiltrar variáveis de ambiente e informações do sistema.
  • Realizar a identificação do sistema.
  • Roubar dados da sessão do navegador.

Pesquisadores observaram atividades maliciosas envolvendo o FlutterShell em março de 2026, indicando que a campanha permanece ativa.

Um ecossistema de malware em expansão está ligado ao TamperedChef.

O FlutterShell não é uma ameaça isolada. As operações atribuídas ao CL-CRI-1089 também incluem o Recipe Lister e o Calendaromatic, ambos associados à campanha mais ampla TamperedChef, também conhecida como EvilAI.

As campanhas do TamperedChef utilizam aplicativos de produtividade infectados por trojans para distribuir programas potencialmente indesejados (PUPs) e adware. Esses aplicativos maliciosos são promovidos por meio de campanhas publicitárias enganosas, criadas para convencer os usuários de que estão baixando ferramentas de software legítimas.

Publicidade maliciosa patrocinada por empresas de fachada

Um elemento fundamental da operação é uma extensa rede de malvertising que se aproveita de anúncios do Google e do YouTube. Os atacantes usam diversas empresas de fachada verificadas pelo Google para publicar e promover anúncios maliciosos, aumentando a credibilidade de suas campanhas e ajudando-os a burlar a fiscalização das plataformas de publicidade.

Entre as empresas ligadas à operação estão:

AdsParkPro LTD, Advantage Web Marketing LLC e SOFT WE ART LIMITED (agora operando como PACIFIC TRADE SOLUTIONS LTD).
Registros adicionais da YouControl e do Companies House, o registro comercial do Reino Unido, indicam ligações entre essas entidades e indivíduos ucranianos.

Os anúncios têm como alvo principal usuários de macOS localizados nos Estados Unidos, Canadá, Austrália, França e Alemanha. Embora as contas do Google Ads associadas não estejam mais acessíveis pelo Centro de Transparência do Google Ads, registros históricos continuam a revelar conexões entre as entidades envolvidas.

Sequestro de navegador por meio de aplicativos confiáveis

Uma vez executado, o FlutterShell modifica os arquivos de configuração do Google Chrome para redirecionar todo o tráfego do navegador por meio de sites intermediários controlados pelo atacante, repletos de anúncios. Essa técnica de sequestro de navegador permite que os criminosos gerem receita enquanto mantêm o controle sobre a atividade de navegação do usuário.

Particularmente preocupante é o fato de que todas as amostras analisadas foram assinadas usando IDs de desenvolvedor da Apple válidos e passaram com sucesso pelo processo de autenticação da Apple. Consequentemente, os mecanismos de segurança automatizados da Apple não identificaram os aplicativos como maliciosos no momento em que foram submetidos.

A arquitetura WebView permite a evolução dinâmica de malware.

Uma das características mais marcantes do FlutterShell é o uso de uma arquitetura baseada em WebView combinada com uma ponte de comunicação entre JavaScript e código nativo. Nesse modelo, a aplicação incorpora um componente de navegador que exibe conteúdo web, permitindo que o código JavaScript se comunique diretamente com as funções nativas do sistema.

Em vez de incorporar lógica maliciosa diretamente no binário do aplicativo, os agentes de ameaça hospedam partes significativas da funcionalidade do malware em sites remotos sob seu controle. Essa abordagem oferece diversas vantagens:

O comportamento do malware pode ser modificado em tempo real sem a necessidade de recompilar o aplicativo.
É possível introduzir novas funcionalidades sem distribuir binários de malware atualizados.
A detecção torna-se mais difícil porque a lógica maliciosa principal reside fora do aplicativo instalado.

Essa arquitetura oferece aos atacantes uma flexibilidade excepcional e permite uma rápida adaptação às medidas defensivas.

Múltiplas variantes sinalizam desenvolvimento ativo

Pesquisadores identificaram três variantes conhecidas do FlutterShell: PodcastsLounge, PDF-Brain e PDF-Ninja. A análise da infraestrutura dos atacantes revelou funções JavaScript incompletas e componentes de código inacabados, sugerindo que o desenvolvimento está em andamento.

Diversas variantes, em particular o PDF-Brain e o PDF-Ninja, incorporam recursos de sumarização de documentos baseados em inteligência artificial. No entanto, os documentos submetidos para sumarização são primeiro encaminhados por servidores controlados pelo atacante antes do processamento, o que gera preocupações significativas de privacidade e segurança para os usuários afetados.

Fortes ligações técnicas com campanhas anteriores

O FlutterShell compartilha semelhanças notáveis com famílias de malware anteriores associadas ao CL-CRI-1089, particularmente o Calendaromatic e o Recipe Lister. A sobreposição mais óbvia é a arquitetura compartilhada baseada em WebView, que permite a modificação dinâmica de payloads maliciosos após a implantação.

Os investigadores também observaram que a Advantage Web Marketing LLC não só participou na distribuição de anúncios maliciosos, como também atuou como entidade signatária de amostras de adware para Windows associadas ao mesmo grupo de ameaças. Estas descobertas reforçam ainda mais as ligações entre as várias campanhas.

Um cenário de ameaças persistente e crescente

A transição do JSCoreRunner para o FlutterShell demonstra um aumento substancial na sofisticação técnica do CL-CRI-1089. A combinação de desenvolvimento avançado de malware, operações de malvertising em larga escala e o uso de empresas de fachada verificadas para burlar os controles das plataformas de publicidade destaca a crescente eficácia das táticas do grupo.

O uso coordenado de múltiplas organizações de fachada, juntamente com o rápido surgimento de novas variantes do FlutterShell, sugere que a Operação FlutterBridge continua sendo uma ameaça ativa e em constante evolução. Pesquisadores de segurança alertam que a campanha está longe de terminar e provavelmente continuará adaptando suas técnicas para atingir usuários de macOS em todo o mundo.

Tendendo

Mais visto

Carregando...