Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware pentru Mac FlutterShell macOS Backdoor

FlutterShell macOS Backdoor

Până în Mezo în Malware pentru Mac, Ușile din spate
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit o operațiune de publicitate malicioasă pe macOS la scară largă, cunoscută sub numele de Operation FlutterBridge, responsabilă de distribuirea unui backdoor nou identificat, numit FlutterShell. Campania reprezintă cea mai recentă evoluție a unui cluster de amenințări asociat anterior cu JSCoreRunner (cunoscut și sub numele de FileRipple), o activitate rău intenționată documentată pentru prima dată în august 2025.

Grupul de infractori cibernetici din spatele ambelor lanțuri de atacuri este înregistrat ca CL-CRI-1089 și se crede că este activ cel puțin din 2023. Analiștii de securitate consideră FlutterShell ca un progres semnificativ în ceea ce privește capacitățile și infrastructura grupului.

De la adware la funcționalitate completă de backdoor

Dezvoltat folosind framework-ul Flutter de la Google, FlutterShell este livrat prin intermediul unor aplicații desktop rău intenționate care inițial par legitime. Deși malware-ul include funcționalități adware, capacitățile sale se extind mult dincolo de reclamele nedorite.

Malware-ul poate:

  • Execută comenzi arbitrare de shell pe sistemele infectate.
  • Interacționează cu fișierele și manipulează-le în cadrul sistemului de fișiere.
  • Exfiltrarea variabilelor de mediu și a informațiilor de sistem.
  • Efectuați amprentarea sistemului.
  • Fură date despre sesiunile de browser.

Cercetătorii au observat activități rău intenționate care au implicat FlutterShell chiar și în martie 2026, ceea ce indică faptul că această campanie rămâne activă.

Un ecosistem de programe malware în creștere, legat de TamperedChef

FlutterShell nu este o amenințare izolată. Operațiunile atribuite CL-CRI-1089 includ, de asemenea, Recipe Lister și Calendaromatic, ambele asociate cu campania mai amplă TamperedChef, cunoscută și sub numele de EvilAI.

Campaniile TamperedChef se bazează pe aplicații de productivitate cu troieni pentru a distribui programe potențial nedorite (PUP) și adware. Aceste aplicații rău intenționate sunt promovate prin campanii publicitare înșelătoare, concepute pentru a convinge utilizatorii că descarcă instrumente software legitime.

Publicitate rău intenționată susținută de companiile Shell

Un element cheie al operațiunii este o rețea extinsă de publicitate malicioasă care valorifică reclamele Google și YouTube. Atacatorii folosesc mai multe companii-paravan verificate de Google pentru a publica și promova reclame rău intenționate, sporind credibilitatea campaniilor lor și ajutându-i să evite controlul platformelor publicitare.

Printre companiile legate de operațiune se numără:

AdsParkPro LTD, Advantage Web Marketing LLC și SOFT WE ART LIMITED (care operează în prezent sub denumirea de PACIFIC TRADE SOLUTIONS LTD).
Înregistrări suplimentare de la YouControl și de la Registrul Comerțului din Regatul Unit indică legături între aceste entități și persoane fizice ucrainene.

Reclamele vizează în principal utilizatorii macOS din Statele Unite, Canada, Australia, Franța și Germania. Deși conturile Google Ads asociate nu mai sunt accesibile prin intermediul Centrului de Transparență Google Ads, înregistrările istorice continuă să dezvăluie conexiuni între entitățile implicate.

Deturnarea browserului prin aplicații de încredere

Odată executat, FlutterShell modifică fișierele de configurare Google Chrome pentru a redirecționa tot traficul browserului prin site-uri web intermediare controlate de atacatori, pline de reclame. Această tehnică de deturnare a browserului permite actorilor amenințători să genereze venituri, menținând în același timp controlul asupra activității de navigare a utilizatorilor.

Îngrijorător în mod special este faptul că fiecare eșantion analizat a fost semnat folosind ID-uri de dezvoltator Apple valide și a trecut cu succes procesul de notarizare al Apple. Prin urmare, mecanismele automate de securitate ale Apple nu au identificat aplicațiile ca fiind rău intenționate în momentul trimiterii acestora.

Arhitectura WebView permite evoluția dinamică a programelor malware

Una dintre cele mai distinctive caracteristici ale FlutterShell este utilizarea unei arhitecturi bazate pe WebView combinată cu o punte de comunicare JavaScript-nativ. În acest model, aplicația încorporează o componentă de browser care afișează conținut web, permițând în același timp codului JavaScript să comunice direct cu funcțiile sistemului nativ.

În loc să integreze logica rău intenționată direct în fișierul binar al aplicației, actorii amenințători găzduiesc porțiuni semnificative din funcționalitatea malware-ului pe site-uri web la distanță aflate sub controlul lor. Această abordare oferă mai multe avantaje:

Comportamentul programelor malware poate fi modificat în timp real fără a fi nevoie de recompilarea aplicației.
Noile funcționalități pot fi introduse fără a distribui fișiere binare actualizate pentru malware.
Detectarea devine mai dificilă deoarece logica malware de bază se află în afara aplicației instalate.

Această arhitectură oferă atacatorilor o flexibilitate excepțională și permite o adaptare rapidă la măsurile defensive.

Variante multiple semnalează o dezvoltare activă

Cercetătorii au identificat trei variante cunoscute de FlutterShell: PodcastsLounge, PDF-Brain și PDF-Ninja. Analiza infrastructurii atacatorilor a relevat funcții JavaScript incomplete și componente de cod neterminate, ceea ce sugerează că dezvoltarea este în desfășurare.

Mai multe variante, în special PDF-Brain și PDF-Ninja, încorporează funcții de sumarizare a documentelor bazate pe inteligență artificială. Cu toate acestea, documentele trimise pentru sumarizare sunt mai întâi direcționate prin servere controlate de atacatori înainte de procesare, ceea ce creează probleme semnificative de confidențialitate și securitate pentru utilizatorii afectați.

Legături tehnice puternice cu campaniile anterioare

FlutterShell are asemănări notabile cu familiile anterioare de programe malware legate de CL-CRI-1089, în special Calendaromatic și Recipe Lister. Cea mai evidentă suprapunere este arhitectura partajată bazată pe WebView, care permite modificarea dinamică a sarcinilor utile malițioase după implementare.

Anchetatorii au observat, de asemenea, că Advantage Web Marketing LLC nu numai că a participat la distribuirea de reclame rău intenționate, dar a acționat și ca entitate semnătoare pentru mostrele de adware bazate pe Windows asociate cu același cluster de amenințări. Aceste descoperiri consolidează și mai mult legăturile dintre diferitele campanii.

Un peisaj al amenințărilor persistent și în creștere

Tranziția de la JSCoreRunner la FlutterShell demonstrează o creștere substanțială a sofisticării tehnice conform CL-CRI-1089. Combinația dintre dezvoltarea avansată de programe malware, operațiuni de publicitate malware la scară largă și utilizarea unor companii-fantomă verificate pentru a ocoli controalele platformelor de publicitate evidențiază eficacitatea tot mai mare a tacticilor grupului.

Utilizarea coordonată a mai multor organizații de fațadă, împreună cu apariția rapidă a unor noi variante FlutterShell, sugerează că Operațiunea FlutterBridge rămâne o amenințare activă și în continuă evoluție. Cercetătorii în domeniul securității avertizează că această campanie este departe de a se fi încheiat și că este probabil să continue să își adapteze tehnicile pentru a viza utilizatorii de macOS din întreaga lume.

Trending

Cele mai văzute

Se încarcă...