Popust za več licenc
Podjetje o grožnjah Mac zlonamerna programska oprema Zadnja vrata FlutterShell za macOS

Zadnja vrata FlutterShell za macOS

Do leta Mezo leta Mac zlonamerna programska oprema, Zadnja vrata
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili obsežno operacijo zlonamernega oglaševanja v sistemu macOS, znano kot Operacija FlutterBridge, ki je odgovorna za distribucijo na novo odkritega zadnjega vrata z imenom FlutterShell. Kampanja predstavlja najnovejši razvoj grozeče skupine groženj, ki je bila prej povezana z JSCoreRunnerjem (znanim tudi kot FileRipple), zlonamerno dejavnostjo, ki je bila prvič dokumentirana avgusta 2025.

Kibernetska kriminalna skupina, ki stoji za obema verigama napadov, je označena kot CL-CRI-1089 in naj bi bila aktivna vsaj od leta 2023. Varnostni analitiki menijo, da je FlutterShell pomemben napredek v zmogljivostih in infrastrukturi skupine.

Od oglaševalske programske opreme do polne funkcionalnosti zadnjih vrat

FlutterShell, razvit z uporabo Googlovega ogrodja Flutter, se dostavlja prek zlonamernih namiznih aplikacij, ki se sprva zdijo legitimne. Čeprav zlonamerna programska oprema vključuje funkcionalnost oglaševalske programske opreme, njene zmogljivosti segajo daleč preko neželenega oglaševanja.

Zlonamerna programska oprema lahko:

  • Izvajanje poljubnih ukazov lupine na okuženih sistemih.
  • Interakcija in upravljanje datotek znotraj datotečnega sistema.
  • Izvleči spremenljivke okolja in sistemske informacije.
  • Izvedite sistemske prstne odtise.
  • Ukradite podatke seje brskalnika.

Raziskovalci so zlonamerno aktivnost, povezano s FlutterShellom, opazili še marca 2026, kar kaže, da je kampanja še vedno aktivna.

Rastoči ekosistem zlonamerne programske opreme, povezan s TamperedChefom

FlutterShell ni osamljena grožnja. Med operacijami, pripisanimi CL-CRI-1089, sta tudi Recipe Lister in Calendaromatic, obe povezani s širšo kampanjo TamperedChef, znano tudi kot EvilAI.

Kampanje TamperedChef se zanašajo na trojanske aplikacije za produktivnost, s katerimi distribuirajo potencialno neželene programe (PUP) in oglaševalsko programsko opremo. Te zlonamerne aplikacije se promovirajo z zavajajočimi oglaševalskimi akcijami, katerih namen je prepričati uporabnike, da prenašajo legitimna programska orodja.

Zlonamerno oglaševanje, ki ga poganjajo slamnate družbe

Ključni element operacije je obsežno omrežje zlonamernega oglaševanja, ki izkorišča oglase Google in YouTube. Napadalci uporabljajo več s strani Googla preverjenih navideznih podjetij za objavljanje in promocijo zlonamernih oglasov, kar povečuje verodostojnost njihovih kampanj in jim pomaga izogniti se nadzoru oglaševalskih platform.

Med podjetji, povezanimi z operacijo, so:

AdsParkPro LTD, Advantage Web Marketing LLC in SOFT WE ART LIMITED (zdaj posluje kot PACIFIC TRADE SOLUTIONS LTD).
Dodatni zapisi iz YouControla in registra podjetij Združenega kraljestva kažejo na povezave med temi subjekti in ukrajinskimi posamezniki.

Oglasi so namenjeni predvsem uporabnikom sistema macOS v Združenih državah Amerike, Kanadi, Avstraliji, Franciji in Nemčiji. Čeprav povezani računi Google Ads niso več dostopni prek centra za preglednost oglasov Google, zgodovinski zapisi še vedno razkrivajo povezave med vpletenimi subjekti.

Ugrabitev brskalnika prek zaupanja vrednih aplikacij

Ko se FlutterShell zažene, spremeni konfiguracijske datoteke Google Chroma tako, da preusmeri ves promet brskalnika prek posredniških spletnih mest, ki jih nadzorujejo napadalci in so polna oglasov. Ta tehnika ugrabitve brskalnika omogoča akterjem grožnje ustvarjanje prihodka, hkrati pa ohranja nadzor nad dejavnostjo brskanja uporabnikov.

Posebej zaskrbljujoče je dejstvo, da je bil vsak analizirani vzorec podpisan z veljavnimi Apple razvijalskimi ID-ji in je uspešno prestal Applov postopek notarizacije. Posledično Applovi avtomatizirani varnostni mehanizmi aplikacij ob njihovi oddaji niso prepoznali kot zlonamerne.

Arhitektura WebView omogoča dinamičen razvoj zlonamerne programske opreme

Ena najbolj značilnih značilnosti FlutterShella je uporaba arhitekture, ki temelji na WebViewu, v kombinaciji z mostom za komunikacijo med JavaScriptom in izvornim sistemom. V tem modelu aplikacija vgrajuje komponento brskalnika, ki prikazuje spletno vsebino, hkrati pa omogoča kodi JavaScript neposredno komunikacijo z izvornimi sistemskimi funkcijami.

Namesto da bi zlonamerno logiko vdelali neposredno v binarno datoteko aplikacije, akterji grožnje gostijo pomembne dele funkcionalnosti zlonamerne programske opreme na oddaljenih spletnih mestih pod svojim nadzorom. Ta pristop ponuja več prednosti:

Obnašanje zlonamerne programske opreme je mogoče spreminjati v realnem času brez ponovnega prevajanja aplikacije.
Nove funkcionalnosti je mogoče uvesti brez distribucije posodobljenih binarnih datotek zlonamerne programske opreme.
Zaznavanje postane težje, ker jedro zlonamerne logike se nahaja zunaj nameščene aplikacije.

Ta arhitektura daje napadalcem izjemno fleksibilnost in omogoča hitro prilagajanje obrambnim ukrepom.

Več variant signalizira aktiven razvoj

Raziskovalci so identificirali tri znane različice FlutterShella: PodcastsLounge, PDF-Brain in PDF-Ninja. Analiza infrastrukture napadalcev je razkrila nepopolne funkcije JavaScripta in nedokončane komponente kode, kar kaže na to, da razvoj še poteka.

Več različic, zlasti PDF-Brain in PDF-Ninja, vključuje funkcije povzemanja dokumentov, ki jih poganja umetna inteligenca. Vendar pa se dokumenti, poslani v povzemanje, pred obdelavo najprej usmerijo prek strežnikov, ki jih nadzorujejo napadalci, kar povzroča znatne pomisleke glede zasebnosti in varnosti prizadetih uporabnikov.

Močne tehnične povezave s prejšnjimi kampanjami

FlutterShell ima opazne podobnosti s prejšnjimi družinami zlonamerne programske opreme, povezanimi s CL-CRI-1089, zlasti s Calendaromatic in Recipe Lister. Najbolj očitno prekrivanje je skupna arhitektura, ki temelji na WebViewu in omogoča dinamično spreminjanje zlonamernih koristnih tovorov po namestitvi.

Preiskovalci so tudi opazili, da Advantage Web Marketing LLC ni sodeloval le pri distribuciji zlonamernih oglasov, temveč je deloval tudi kot podpisni subjekt za vzorce oglasne programske opreme za Windows, povezane z isto gručo groženj. Te ugotovitve še dodatno krepijo povezave med različnimi kampanjami.

Vztrajna in naraščajoča pokrajina groženj

Prehod z JSCoreRunnerja na FlutterShell kaže na znatno povečanje tehnične dovršenosti po CL-CRI-1089. Kombinacija naprednega razvoja zlonamerne programske opreme, obsežnih operacij zlonamernega oglaševanja in uporabe preverjenih slamnatih podjetij za obhod nadzora oglaševalskih platform poudarja vse večjo učinkovitost taktik skupine.

Usklajena uporaba več frontnih organizacij, skupaj s hitrim pojavom novih različic FlutterShella, kaže, da operacija FlutterBridge ostaja aktivna in razvijajoča se grožnja. Varnostni raziskovalci opozarjajo, da kampanja še zdaleč ni končana in da bo verjetno še naprej prilagajala svoje tehnike, da bi ciljala na uporabnike macOS po vsem svetu.

V trendu

Prevara z obvestilom o nadgradnji računa cPanel po...

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki ustvarjajo občutek nujnosti, je treba vedno obravnavati previdno. Kibernetski kriminalci se pogosto izdajajo za zaupanja vredne blagovne znamke in storitve, da bi prejemnike zvabili v razkritje občutljivih podatkov ali prenos zlonamerne vsebine. Ena takšnih phishing kampanj je prevara z obvestilom o nadgradnji računa cPanel. Čeprav se zdi, da sporočila...

Najbolj gledan

Nalaganje...