Multilicenčná zľavová ponuka
Databáza hrozieb Škodlivý softvér Mac Zadné vrátka FlutterShell pre macOS

Zadné vrátka FlutterShell pre macOS

Do roku Mezo v roku Škodlivý softvér Mac, Zadné vrátka
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili rozsiahlu malwaretizujúcu operáciu v systéme macOS známu ako Operation FlutterBridge, ktorá je zodpovedná za distribúciu novo identifikovaného backdooru s názvom FlutterShell. Kampaň predstavuje najnovší vývoj hrozieb, ktoré boli predtým spojené s JSCoreRunner (známym aj ako FileRipple), čo je škodlivá aktivita prvýkrát zdokumentovaná v auguste 2025.

Kyberzločinná skupina stojaca za oboma reťazcami útokov je sledovaná ako CL-CRI-1089 a predpokladá sa, že je aktívna minimálne od roku 2023. Bezpečnostní analytici považujú FlutterShell za významný pokrok v schopnostiach a infraštruktúre skupiny.

Od adwaru k plnej funkčnosti backdoorov

FlutterShell, vyvinutý pomocou frameworku Flutter od spoločnosti Google, je distribuovaný prostredníctvom škodlivých desktopových aplikácií, ktoré sa spočiatku zdajú byť legitímne. Hoci malvér obsahuje funkcie adwaru, jeho možnosti siahajú ďaleko za rámec nechcenej reklamy.

Škodlivý softvér môže:

  • Vykonávať ľubovoľné príkazy shellu na infikovaných systémoch.
  • Interagovať so súbormi a manipulovať s nimi v rámci súborového systému.
  • Exfiltrovať premenné prostredia a systémové informácie.
  • Vykonajte odtlačky prstov systému.
  • Ukradnúť údaje o relácii prehliadača.

Výskumníci pozorovali škodlivú aktivitu súvisiacu s FlutterShell ešte v marci 2026, čo naznačuje, že kampaň je stále aktívna.

Rastúci ekosystém škodlivého softvéru spojený s TamperedChefom

FlutterShell nie je izolovaná hrozba. Medzi operácie pripisované CL-CRI-1089 patria aj Recipe Lister a Calendaromatic, obe spojené so širšou kampaňou TamperedChef, známou aj ako EvilAI.

Kampane TamperedChef sa spoliehajú na trójske kone, ktoré šíria potenciálne nechcené programy (PUP) a adware, pomocou aplikácií na zvýšenie produktivity. Tieto škodlivé aplikácie sú propagované prostredníctvom klamlivých reklamných kampaní, ktorých cieľom je presvedčiť používateľov, že sťahujú legitímne softvérové nástroje.

Zlomyslná reklama poskytovaná spoločnosťami Shell

Kľúčovým prvkom operácie je rozsiahla sieť škodlivej reklamy, ktorá využíva reklamy na Google a YouTube. Útočníci používajú viacero fiktívnych spoločností overených spoločnosťou Google na publikovanie a propagáciu škodlivých reklám, čím zvyšujú dôveryhodnosť svojich kampaní a pomáhajú im vyhnúť sa kontrole reklamných platforiem.

Medzi spoločnosti spojené s operáciou patria:

AdsParkPro LTD, Advantage Web Marketing LLC a SOFT WE ART LIMITED (teraz pôsobiaca ako PACIFIC TRADE SOLUTIONS LTD).
Ďalšie záznamy z YouControl a registra spoločností Spojeného kráľovstva naznačujú prepojenia medzi týmito subjektmi a ukrajinskými jednotlivcami.

Reklamy sú primárne zamerané na používateľov systému macOS nachádzajúcich sa v Spojených štátoch, Kanade, Austrálii, Francúzsku a Nemecku. Hoci prepojené účty Google Ads už nie sú prístupné prostredníctvom Centra transparentnosti Google Ads, historické záznamy naďalej odhaľujú prepojenia medzi zúčastnenými subjektmi.

Únos prehliadača prostredníctvom dôveryhodných aplikácií

Po spustení FlutterShell upraví konfiguračné súbory prehliadača Google Chrome tak, aby presmeroval všetku prevádzku prehliadača cez sprostredkovateľské webové stránky kontrolované útočníkom, ktoré sú plné reklám. Táto technika únosu prehliadača umožňuje aktérom hrozbami generovať príjmy a zároveň si udržiavať kontrolu nad aktivitou prehliadania používateľov.

Obzvlášť znepokojujúca je skutočnosť, že každá analyzovaná vzorka bola podpísaná platnými identifikátormi vývojárov Apple a úspešne prešla procesom notárskeho overenia spoločnosti Apple. V dôsledku toho automatizované bezpečnostné mechanizmy spoločnosti Apple neidentifikovali aplikácie ako škodlivé v čase ich odoslania.

Architektúra WebView umožňuje dynamický vývoj malvéru

Jednou z najvýraznejších charakteristík FlutterShellu je použitie architektúry založenej na WebView v kombinácii s komunikačným mostom medzi JavaScriptom a natívnym jazykom. V tomto modeli aplikácia obsahuje komponent prehliadača, ktorý zobrazuje webový obsah a zároveň umožňuje kódu JavaScript priamo komunikovať s natívnymi funkciami systému.

Namiesto priameho vkladania škodlivej logiky do binárneho súboru aplikácie, útočníci hostia významné časti funkcií škodlivého softvéru na vzdialených webových stránkach, ktoré majú pod kontrolou. Tento prístup poskytuje niekoľko výhod:

Správanie škodlivého softvéru je možné upravovať v reálnom čase bez nutnosti prekompilácie aplikácie.
Nové funkcie je možné zaviesť bez distribúcie aktualizovaných binárnych súborov škodlivého softvéru.
Detekcia sa stáva ťažšou, pretože jadro škodlivej logiky sa nachádza mimo nainštalovanej aplikácie.

Táto architektúra poskytuje útočníkom výnimočnú flexibilitu a umožňuje rýchlu adaptáciu na obranné opatrenia.

Viaceré varianty signalizujú aktívny rozvoj

Výskumníci identifikovali tri známe varianty FlutterShellu: PodcastsLounge, PDF-Brain a PDF-Ninja. Analýza infraštruktúry útočníkov odhalila neúplné funkcie JavaScriptu a nedokončené komponenty kódu, čo naznačuje, že vývoj stále prebieha.

Niekoľko variantov, najmä PDF-Brain a PDF-Ninja, obsahuje funkcie sumarizácie dokumentov s využitím umelej inteligencie. Dokumenty odoslané na sumarizáciu sú však pred spracovaním najprv smerované cez servery ovládané útočníkom, čo predstavuje značné obavy o súkromie a bezpečnosť dotknutých používateľov.

Silné technické prepojenia s predchádzajúcimi kampaňami

FlutterShell má výrazné podobnosti so staršími rodinami malvéru spojenými s CL-CRI-1089, najmä s Calendaromatic a Recipe Lister. Najzreteľnejším prekrytím je zdieľaná architektúra založená na WebView, ktorá umožňuje dynamickú úpravu škodlivých dát po nasadení.

Vyšetrovatelia tiež zistili, že spoločnosť Advantage Web Marketing LLC sa nielen podieľala na distribúcii škodlivých reklám, ale pôsobila aj ako podpisový subjekt pre vzorky advéru pre systém Windows spojené s rovnakým klastrom hrozieb. Tieto zistenia ďalej posilňujú prepojenie medzi rôznymi kampaňami.

Pretrvávajúca a stupňujúca sa hrozba

Prechod z JSCoreRunner na FlutterShell demonštruje podstatný nárast technickej sofistikovanosti podľa CL-CRI-1089. Kombinácia pokročilého vývoja malvéru, rozsiahlych operácií so škodlivou reklamou a využívania overených schránkových spoločností na obchádzanie kontrol reklamných platforiem zdôrazňuje rastúcu účinnosť taktík skupiny.

Koordinované využívanie viacerých krycích organizácií spolu s rýchlym vznikom nových variantov FlutterShellu naznačuje, že operácia FlutterBridge zostáva aktívnou a vyvíjajúcou sa hrozbou. Bezpečnostní výskumníci varujú, že kampaň ani zďaleka neskončila a pravdepodobne bude naďalej prispôsobovať svoje techniky tak, aby zacielila na používateľov macOS na celom svete.

Trendy

Podvodný e-mail s oznámením o aktualizácii účtu cPanel

Phishing, Spam
Neočakávané e-maily, ktoré vyvolávajú pocit naliehavosti, by sa mali vždy brať opatrne. Kyberzločinci sa často vydávajú za dôveryhodné značky a služby, aby oklamali príjemcov a prinútili ich prezradiť citlivé informácie alebo si stiahnuť škodlivý obsah. Podvodný e-mail s oznámením o aktualizácii účtu cPanel je jednou z takýchto phishingových kampaní. Hoci sa zdá, že správy pochádzajú z cPanelu,...

Najviac videné

Načítava...