Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Mac malware FlutterShell macOS Backdoor

FlutterShell macOS Backdoor

Nga MezoMac malware, Dyer të pasme
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një operacion të gjerë të keqpërdorimit të reklamave në macOS të njohur si Operation FlutterBridge, i cili është përgjegjës për shpërndarjen e një dere të pasme të identifikuar rishtazi të quajtur FlutterShell. Fushata përfaqëson evolucionin më të fundit të një grumbulli kërcënimesh të lidhur më parë me JSCoreRunner (i njohur edhe si FileRipple), një aktivitet keqdashës i dokumentuar për herë të parë në gusht 2025.

Grupi kriminal kibernetik që qëndron pas të dy zinxhirëve të sulmeve gjurmohet si CL-CRI-1089 dhe besohet se ka qenë aktiv që të paktën nga viti 2023. Analistët e sigurisë e shohin FlutterShell si një përparim të rëndësishëm në aftësitë dhe infrastrukturën e grupit.

Nga Adware në Funksionalitet të Plotë të Backdoor

I zhvilluar duke përdorur framework-un Flutter të Google, FlutterShell ofrohet përmes aplikacioneve të dëmshme për desktop që fillimisht duken të ligjshme. Ndërsa programi keqdashës përfshin funksionalitetin e reklamave, aftësitë e tij shtrihen përtej reklamave të padëshiruara.

Malware mund të:

  • Ekzekutoni komanda arbitrare të shell në sistemet e infektuara.
  • Ndërveproni me dhe manipuloni skedarët brenda sistemit të skedarëve.
  • Ekfiltro variablat e mjedisit dhe informacionin e sistemit.
  • Kryeni marrjen e gjurmëve të gishtërinjve nga sistemi.
  • Vjedhja e të dhënave të sesionit të shfletuesit.

Studiuesit vunë re aktivitet dashakeq që përfshinte FlutterShell deri në mars të vitit 2026, duke treguar se fushata mbetet aktive.

Një ekosistem malware në rritje i lidhur me TamperedChef

FlutterShell nuk është një kërcënim i izoluar. Operacionet që i atribuohen CL-CRI-1089 përfshijnë gjithashtu Recipe Lister dhe Calendaromatic, të dyja të lidhura me fushatën më të gjerë TamperedChef, e njohur edhe si EvilAI.

Fushatat e TamperedChef mbështeten në aplikacione produktiviteti të trojanizuara për të shpërndarë programe potencialisht të padëshiruara (PUP) dhe adware. Këto aplikacione dashakeqe promovohen përmes fushatave mashtruese reklamuese të dizajnuara për të bindur përdoruesit se po shkarkojnë mjete të ligjshme softuerike.

Reklamim keqdashës i mundësuar nga kompanitë Shell

Një element kyç i operacionit është një rrjet i gjerë reklamash keqdashëse që shfrytëzon reklamat e Google dhe YouTube. Sulmuesit përdorin kompani të shumta fiktive të verifikuara nga Google për të publikuar dhe promovuar reklama keqdashëse, duke rritur besueshmërinë e fushatave të tyre dhe duke i ndihmuar ata të shmangin shqyrtimin e platformave të reklamave.

Ndër kompanitë e lidhura me operacionin janë:

AdsParkPro LTD, Advantage Web Marketing LLC dhe SOFT WE ART LIMITED (tani vepron si PACIFIC TRADE SOLUTIONS LTD).
Të dhëna shtesë nga YouControl dhe regjistri i Dhomës së Kompanive të Mbretërisë së Bashkuar tregojnë lidhje midis këtyre subjekteve dhe individëve ukrainas.

Reklamat synojnë kryesisht përdoruesit e macOS që ndodhen në Shtetet e Bashkuara, Kanada, Australi, Francë dhe Gjermani. Edhe pse llogaritë e lidhura me Google Ads nuk janë më të arritshme përmes Qendrës së Transparencës së Google Ads, të dhënat historike vazhdojnë të zbulojnë lidhje midis subjekteve të përfshira.

Vjedhja e shfletuesit përmes aplikacioneve të besuara

Pasi ekzekutohet, FlutterShell modifikon skedarët e konfigurimit të Google Chrome për të ridrejtuar të gjithë trafikun e shfletuesit përmes faqeve të internetit ndërmjetëse të kontrolluara nga sulmuesit, të mbushura me reklama. Kjo teknikë e rrëmbimit të shfletuesit u mundëson aktorëve kërcënues të gjenerojnë të ardhura duke ruajtur kontrollin mbi aktivitetin e shfletimit të përdoruesit.

Veçanërisht shqetësues është fakti se çdo mostër e analizuar është nënshkruar duke përdorur ID të vlefshme të zhvilluesve të Apple dhe ka kaluar me sukses procesin e noterizimit të Apple. Si rezultat, mekanizmat e automatizuar të sigurisë së Apple nuk i identifikuan aplikacionet si keqdashëse në kohën kur u dorëzuan.

Arkitektura WebView mundëson evolucionin dinamik të malware-it

Një nga karakteristikat më dalluese të FlutterShell është përdorimi i një arkitekture të bazuar në WebView të kombinuar me një urë komunikimi JavaScript-me-native. Në këtë model, aplikacioni përfshin një komponent shfletuesi që shfaq përmbajtjen e uebit, ndërsa lejon që kodi JavaScript të komunikojë drejtpërdrejt me funksionet e sistemit native.

Në vend që të ngulisin logjikën keqdashëse direkt në skedarin binar të aplikacionit, aktorët kërcënues strehojnë pjesë të konsiderueshme të funksionalitetit të malware-it në faqet e internetit të largëta nën kontrollin e tyre. Kjo qasje ofron disa përparësi:

Sjellja e programeve keqdashëse mund të modifikohet në kohë reale pa e rikompiluar aplikacionin.
Funksionalitete të reja mund të futen pa shpërndarë skedarë binare të përditësuar të malware-it.
Zbulimi bëhet më i vështirë sepse logjika thelbësore dashakeqe ndodhet jashtë aplikacionit të instaluar.

Kjo arkitekturë u jep sulmuesve fleksibilitet të jashtëzakonshëm dhe lejon përshtatje të shpejtë ndaj masave mbrojtëse.

Variante të shumëfishta sinjalizojnë zhvillim aktiv

Studiuesit kanë identifikuar tre variante të njohura të FlutterShell: PodcastsLounge, PDF-Brain dhe PDF-Ninja. Analiza e infrastrukturës së sulmuesve zbuloi funksione të paplota JavaScript dhe komponentë të papërfunduar të kodit, duke sugjeruar se zhvillimi është duke vazhduar.

Disa variante, veçanërisht PDF-Brain dhe PDF-Ninja, përfshijnë veçori përmbledhëse të dokumenteve të mundësuara nga inteligjenca artificiale. Megjithatë, dokumentet e paraqitura për përmbledhje së pari kalojnë nëpër servera të kontrolluar nga sulmuesit përpara se të përpunohen, duke krijuar shqetësime të konsiderueshme për privatësinë dhe sigurinë për përdoruesit e prekur.

Lidhje të forta teknike me fushatat e mëparshme

FlutterShell ndan ngjashmëri të dukshme me familjet e mëparshme të programeve keqdashëse të lidhura me CL-CRI-1089, veçanërisht Calendaromatic dhe Recipe Lister. Mbivendosja më e dukshme është arkitektura e përbashkët e bazuar në WebView, e cila mundëson modifikimin dinamik të ngarkesave keqdashëse pas vendosjes.

Hetuesit vunë re gjithashtu se Advantage Web Marketing LLC jo vetëm që mori pjesë në shpërndarjen e reklamave dashakeqe, por gjithashtu veproi si entiteti nënshkrues për mostrat e programeve reklamuese të bazuara në Windows të lidhura me të njëjtin grumbull kërcënimesh. Këto gjetje forcojnë më tej lidhjet midis fushatave të ndryshme.

Një peizazh kërcënimesh i vazhdueshëm dhe në rritje

Kalimi nga JSCoreRunner në FlutterShell tregon një rritje të konsiderueshme të sofistikimit teknik nga CL-CRI-1089. Kombinimi i zhvillimit të avancuar të malware-it, operacioneve të reklamimit keqdashës në shkallë të gjerë dhe përdorimit të kompanive të verifikuara të skemave të reklamimit për të anashkaluar kontrollet e platformave reklamuese nxjerr në pah efektivitetin në rritje të taktikave të grupit.

Përdorimi i koordinuar i organizatave të shumta, së bashku me shfaqjen e shpejtë të varianteve të reja të FlutterShell, sugjeron që Operacioni FlutterBridge mbetet një kërcënim aktiv dhe në zhvillim e sipër. Studiuesit e sigurisë paralajmërojnë se fushata është larg përfundimit dhe ka të ngjarë të vazhdojë të përshtatë teknikat e saj për të synuar përdoruesit e macOS në të gjithë botën.

Në trend

Mashtrim me email për njoftimin e përmirësimit të...

Fishing, Spam
Emailet e papritura që krijojnë një ndjesi urgjence duhet të trajtohen gjithmonë me kujdes. Kriminelët kibernetikë shpesh imitojnë markat dhe shërbimet e besuara për të mashtruar marrësit që të zbulojnë informacione të ndjeshme ose të shkarkojnë përmbajtje dashakeqe. Mashtrimi me email i Njoftimit për Përmirësimin e Llogarisë cPanel është një fushatë e tillë phishing. Edhe pse mesazhet duket se...

Më e shikuara

Po ngarkohet...