Rabattoffert för flera licenser
Hotdatabas Mac Malware FlutterShell macOS-bakdörr

FlutterShell macOS-bakdörr

Med Mezo år Mac Malware, Bakdörrar
Översätt till:

Cybersäkerhetsforskare har avslöjat en storskalig macOS-operation som kallas Operation FlutterBridge, vilken ansvarar för att distribuera en nyligen identifierad bakdörr vid namn FlutterShell. Kampanjen representerar den senaste utvecklingen av ett hotkluster som tidigare kopplats till JSCoreRunner (även känt som FileRipple), en skadlig aktivitet som först dokumenterades i augusti 2025.

Den cyberkriminella gruppen bakom båda attackkedjorna spåras som CL-CRI-1089 och tros ha varit aktiv sedan åtminstone 2023. Säkerhetsanalytiker ser FlutterShell som ett betydande framsteg i gruppens kapacitet och infrastruktur.

Från annonsprogram till fullständig bakdörrsfunktionalitet

FlutterShell, som utvecklats med Googles Flutter-ramverk, levereras via skadliga skrivbordsprogram som till en början verkar legitima. Även om den skadliga programvaran inkluderar annonsprogramfunktioner, sträcker sig dess funktioner långt bortom oönskad reklam.

Skadlig kod kan:

  • Kör godtyckliga shell-kommandon på infekterade system.
  • Interagera med och manipulera filer i filsystemet.
  • Exfiltrera miljövariabler och systeminformation.
  • Utför systemfingeravtryck.
  • Stjäla webbläsarsessionsdata.

Forskare observerade skadlig aktivitet med FlutterShell så sent som i mars 2026, vilket indikerar att kampanjen fortfarande är aktiv.

Ett växande ekosystem med skadlig kod kopplat till TamperedChef

FlutterShell är inte ett isolerat hot. Åtgärder som tillskrivs CL-CRI-1089 inkluderar även Recipe Lister och Calendoromatic, båda associerade med den bredare TamperedChef-kampanjen, även känd som EvilAI.

TamperedChef-kampanjer förlitar sig på trojanska produktivitetsprogram för att distribuera potentiellt oönskade program (PUP:er) och annonsprogram. Dessa skadliga program marknadsförs genom vilseledande reklamkampanjer som är utformade för att övertyga användare om att de laddar ner legitima programvaruverktyg.

Skadlig reklam från Shell-företag

En viktig del av operationen är ett omfattande nätverk för skadlig reklam som utnyttjar Google- och YouTube-annonser. Angriparna använder flera Google-verifierade skalbolag för att publicera och marknadsföra skadliga annonser, vilket ökar trovärdigheten för sina kampanjer och hjälper dem att undvika granskning av annonsplattformar.

Bland de företag som är kopplade till verksamheten finns:

AdsParkPro LTD, Advantage Web Marketing LLC och SOFT WE ART LIMITED (numera verksamt som PACIFIC TRADE SOLUTIONS LTD).
Ytterligare register från YouControl och Storbritanniens Companies House-register indikerar kopplingar mellan dessa enheter och ukrainska individer.

Annonserna riktar sig främst till macOS-användare i USA, Kanada, Australien, Frankrike och Tyskland. Även om de tillhörande Google Ads-kontona inte längre är tillgängliga via Google Ads Transparency Center, fortsätter historiska register att avslöja kopplingar mellan de inblandade enheterna.

Kapning av webbläsare via betrodda applikationer

När den körs modifierar FlutterShell Google Chromes konfigurationsfiler för att omdirigera all webbläsartrafik via angriparkontrollerade mellanliggande webbplatser fyllda med reklam. Denna webbläsarkapningsteknik gör det möjligt för hotande aktörer att generera intäkter samtidigt som de bibehåller kontrollen över användarnas surfaktivitet.

Särskilt oroande är det faktum att varje analyserat prov signerades med giltiga Apple Developer ID:n och klarade Apples notarieprocess. Som ett resultat identifierade inte Apples automatiserade säkerhetsmekanismer applikationerna som skadliga när de skickades in.

WebView-arkitektur möjliggör dynamisk utveckling av skadlig kod

En av FlutterShells mest utmärkande egenskaper är dess användning av en WebView-baserad arkitektur i kombination med en kommunikationsbrygga mellan JavaScript och native system. I den här modellen bäddar applikationen in en webbläsarkomponent som visar webbinnehåll samtidigt som JavaScript-kod kan kommunicera direkt med native systemfunktioner.

Istället för att bädda in skadlig logik direkt i programmets binärfil, lagrar hotaktörerna betydande delar av den skadliga programvarans funktionalitet på fjärrwebbplatser som de kontrollerar. Denna metod ger flera fördelar:

Skadlig programvaras beteende kan modifieras i realtid utan att programmet behöver kompileras om.
Ny funktionalitet kan introduceras utan att distribuera uppdaterade binärfiler för skadlig kod.
Detektion blir svårare eftersom den skadliga kärnlogiken finns utanför den installerade applikationen.

Denna arkitektur ger angripare exceptionell flexibilitet och möjliggör snabb anpassning till defensiva åtgärder.

Flera varianter signalerar aktiv utveckling

Forskare har identifierat tre kända FlutterShell-varianter: PodcastsLounge, PDF-Brain och PDF-Ninja. Analys av angriparnas infrastruktur avslöjade ofullständiga JavaScript-funktioner och ofärdiga kodkomponenter, vilket tyder på att utvecklingen pågår.

Flera varianter, särskilt PDF-Brain och PDF-Ninja, innehåller funktioner för dokumentsammanfattning baserade på artificiell intelligens. Dokument som skickas in för sammanfattning dirigeras dock först via angriparstyrda servrar innan de bearbetas, vilket skapar betydande integritets- och säkerhetsproblem för berörda användare.

Starka tekniska kopplingar till tidigare kampanjer

FlutterShell har anmärkningsvärda likheter med tidigare familjer av skadliga program kopplade till CL-CRI-1089, särskilt Calendoromatic och Recipe Lister. Den mest uppenbara överlappningen är den delade WebView-baserade arkitekturen, som möjliggör dynamisk modifiering av skadliga nyttolaster efter distribution.

Utredarna observerade också att Advantage Web Marketing LLC inte bara deltog i distributionen av skadlig reklam utan också agerade som signeringsenhet för Windows-baserade annonsprogramexempel kopplade till samma hotkluster. Dessa resultat stärker ytterligare kopplingarna mellan de olika kampanjerna.

Ett ihållande och eskalerande hotlandskap

Övergången från JSCoreRunner till FlutterShell visar en betydande ökning av teknisk sofistikering med CL-CRI-1089. Kombinationen av avancerad utveckling av skadlig kod, storskalig skadlig annonsering och användningen av verifierade skalbolag för att kringgå kontroller av annonsplattformar belyser den växande effektiviteten i gruppens taktik.

Den samordnade användningen av flera frontorganisationer, tillsammans med den snabba framväxten av nya FlutterShell-varianter, tyder på att Operation FlutterBridge fortfarande är ett aktivt och föränderligt hot. Säkerhetsforskare varnar för att kampanjen är långt ifrån över och sannolikt kommer att fortsätta att anpassa sina tekniker för att rikta in sig på macOS-användare över hela världen.

Trendigt

Mest sedda

Läser in...