Попуст за више лиценци
Тхреат Датабасе Мац малвер FlutterShell задња врата за macOS

FlutterShell задња врата за macOS

До Mezo. у Мац малвер, Бацкдоорс
Преведи на:

Истраживачи сајбер безбедности открили су велику операцију злонамерног оглашавања на macOS-у познату као Операција ФлатерБриџ, која је одговорна за дистрибуцију новоидентификованог бекдора под називом ФлатерШел. Кампања представља најновију еволуцију кластера претњи који је раније био повезан са JSCoreRunner-ом (такође познатим као FileRipple), злонамерном активношћу која је први пут документована у августу 2025. године.

Сајбер криминална група која стоји иза оба ланца напада прати се као CL-CRI-1089 и верује се да је активна најмање од 2023. године. Безбедносни аналитичари сматрају FlutterShell значајним напретком у могућностима и инфраструктури групе.

Од адвера до потпуне функционалности задњих врата

Развијен коришћењем Google-овог Flutter фрејмворка, FlutterShell се испоручује путем злонамерних десктоп апликација које у почетку делују легитимно. Иако злонамерни софтвер укључује функционалност адвера, његове могућности се протежу далеко изван нежељеног оглашавања.

Злонамерни софтвер може:

  • Извршавајте произвољне команде шкољке на зараженим системима.
  • Интеракција и манипулација датотекама унутар система датотека.
  • Извуците променљиве окружења и системске информације.
  • Извршите системско отискавање прстију.
  • Крађа података сесије прегледача.

Истраживачи су приметили злонамерне активности које укључују FlutterShell тек у марту 2026. године, што указује да је кампања и даље активна.

Растући екосистем злонамерног софтвера повезан са TamperedChef-ом

FlutterShell није изолована претња. Операције које се приписују CL-CRI-1089 такође укључују Recipe Lister и Calendaromatic, обе повезане са широм кампањом TamperedChef, познатом и као EvilAI.

Кампање TamperedChef ослањају се на тројанизоване апликације за продуктивност како би дистрибуирале потенцијално нежељене програме (PUP) и адвер. Ове злонамерне апликације се промовишу путем обмањујућих рекламних кампања осмишљених да убеде кориснике да преузимају легитимне софтверске алате.

Злонамерно оглашавање које покрећу компаније Shell

Кључни елемент операције је опсежна мрежа злонамерног оглашавања која користи огласе на Гуглу и Јутјубу. Нападачи користе више лажних компанија које је верификовао Гугл за објављивање и промоцију злонамерних огласа, повећавајући кредибилитет својих кампања и помажући им да избегну контролу рекламних платформи.

Међу компанијама повезаним са операцијом су:

AdsParkPro LTD, Advantage Web Marketing LLC и SOFT WE ART LIMITED (сада послује као PACIFIC TRADE SOLUTIONS LTD).
Додатни записи из YouControl-а и регистра компанија Уједињеног Краљевства указују на везе између ових ентитета и украјинских појединаца.

Огласи су првенствено усмерени на кориснике macOS-а који се налазе у Сједињеним Државама, Канади, Аустралији, Француској и Немачкој. Иако повезани Google Ads налози више нису доступни путем Центра за транспарентност Google Ads-а, историјски записи и даље откривају везе између укључених ентитета.

Отимање прегледача путем поузданих апликација

Једном покренут, FlutterShell мења конфигурационе датотеке Google Chrome-а како би преусмерио сав саобраћај прегледача преко посредничких веб локација које контролишу нападачи, а које су испуњене рекламама. Ова техника отмице прегледача омогућава актерима претње да генеришу приход док истовремено одржавају контролу над активностима прегледања корисника.

Посебно је забрињавајућа чињеница да је сваки анализирани узорак потписан важећим Apple програмерским идентификаторима и успешно прошао Apple-ов процес овере. Као резултат тога, Apple-ови аутоматизовани безбедносни механизми нису идентификовали апликације као злонамерне у тренутку када су послате.

WebView архитектура омогућава динамичку еволуцију злонамерног софтвера

Једна од најистакнутијих карактеристика FlutterShell-а је коришћење архитектуре засноване на WebView-у у комбинацији са комуникационим мостом између JavaScript-а и нативног кода. У овом моделу, апликација уграђује компоненту прегледача која приказује веб садржај, а истовремено омогућава JavaScript коду да директно комуницира са нативним системским функцијама.

Уместо да уграђују злонамерну логику директно у бинарни фајл апликације, претње хостују значајне делове функционалности злонамерног софтвера на удаљеним веб локацијама под својом контролом. Овај приступ пружа неколико предности:

Понашање злонамерног софтвера може се изменити у реалном времену без поновног компајлирања апликације.
Нове функционалности могу се увести без дистрибуције ажурираних бинарних датотека злонамерног софтвера.
Детекција постаје тежа јер се основна злонамерна логика налази изван инсталиране апликације.

Ова архитектура даје нападачима изузетну флексибилност и омогућава брзо прилагођавање одбрамбеним мерама.

Вишеструке варијанте сигнализирају активан развој

Истраживачи су идентификовали три познате варијанте FlutterShell-а: PodcastsLounge, PDF-Brain и PDF-Ninja. Анализа инфраструктуре нападача открила је непотпуне JavaScript функције и недовршене компоненте кода, што указује на то да је развој у току.

Неколико варијанти, посебно PDF-Brain и PDF-Ninja, укључују функције сумирања докумената засноване на вештачкој интелигенцији. Међутим, документи послати на сумирање се прво усмеравају кроз сервере које контролишу нападачи пре обраде, што ствара значајне проблеме у вези са приватношћу и безбедношћу за погођене кориснике.

Јаке техничке везе са ранијим кампањама

FlutterShell дели значајне сличности са ранијим породицама малвера повезаним са CL-CRI-1089, посебно Calendaromatic и Recipe Lister. Најочигледније преклапање је заједничка архитектура заснована на WebView-у, која омогућава динамичку модификацију злонамерних корисних садржаја након имплементације.

Истражитељи су такође приметили да Advantage Web Marketing LLC није само учествовао у дистрибуцији злонамерних огласа, већ је деловао и као ентитет за потписивање узорака адвера за Windows, повезаних са истим кластером претњи. Ови налази додатно јачају везе између различитих кампања.

Упорни и ескалирајући пејзаж претњи

Прелазак са JSCoreRunner-а на FlutterShell показује значајно повећање техничке софистицираности према CL-CRI-1089. Комбинација напредног развоја злонамерног софтвера, великих операција злонамерног оглашавања и коришћења проверених лажних компанија за заобилажење контрола рекламних платформи истиче растућу ефикасност тактика групе.

Координирана употреба вишеструких параван организација, заједно са брзом појавом нових варијанти FlutterShell-а, сугерише да операција FlutterBridge остаје активна и еволуирајућа претња. Истраживачи безбедности упозоравају да је кампања далеко од краја и да ће вероватно наставити да прилагођава своје технике како би циљала кориснике macOS-а широм света.

У тренду

Превара путем имејла са обавештењем о надоградњи...

Пецање, Спам
Неочекиване имејлове који стварају осећај хитности увек треба третирати са опрезом. Сајбер криминалци се често представљају као поуздани брендови и услуге како би преварили примаоце да открију осетљиве информације или преузму злонамерни садржај. Превара имејлом са обавештењем о надоградњи cPanel налога је једна таква фишинг кампања. Иако поруке изгледају као да долазе са cPanel-а, оне нису...

Најгледанији

Учитавање...