ஃப்ளட்டர்ஷெல் மேக்ஓஎஸ் பின்கதவு

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், 'ஆபரேஷன் ஃப்ளட்டர்பிரிட்ஜ்' என அறியப்படும் ஒரு பெரிய அளவிலான macOS தீங்கிழைக்கும் விளம்பரச் செயல்பாட்டைக் கண்டறிந்துள்ளனர். இது, 'ஃப்ளட்டர்ஷெல்' எனப் பெயரிடப்பட்ட, புதிதாக அடையாளம் காணப்பட்ட ஒரு பின்கதவைப் பரப்புவதற்குப் பொறுப்பாகும். இந்தச் செயல்பாடு, ஆகஸ்ட் 2025-இல் முதன்முதலில் ஆவணப்படுத்தப்பட்ட ஒரு தீங்கிழைக்கும் நடவடிக்கையான JSCoreRunner (FileRipple என்றும் அழைக்கப்படுகிறது) உடன் முன்னர் தொடர்புடைய அச்சுறுத்தல் தொகுப்பின் சமீபத்திய பரிணாம வளர்ச்சியைக் குறிக்கிறது.

இந்த இரண்டு தாக்குதல் தொடர்களுக்கும் பின்னணியில் உள்ள இணையக் குற்றக் குழு CL-CRI-1089 எனக் கண்காணிக்கப்படுகிறது, மேலும் அது குறைந்தபட்சம் 2023 ஆம் ஆண்டிலிருந்தே செயல்பட்டு வருவதாக நம்பப்படுகிறது. பாதுகாப்பு ஆய்வாளர்கள், FlutterShell-ஐ அக்குழுவின் திறன்களிலும் உள்கட்டமைப்பிலும் ஒரு குறிப்பிடத்தக்க முன்னேற்றமாகக் கருதுகின்றனர்.

ஆட்வேர் முதல் முழுமையான பேக்டோர் செயல்பாடு வரை

கூகிளின் ஃப்ளட்டர் கட்டமைப்பைப் பயன்படுத்தி உருவாக்கப்பட்ட ஃப்ளட்டர்ஷெல், ஆரம்பத்தில் சட்டப்பூர்வமானவை போலத் தோற்றமளிக்கும் தீங்கிழைக்கும் டெஸ்க்டாப் பயன்பாடுகள் மூலம் வழங்கப்படுகிறது. இந்த மால்வேரில் விளம்பரச் செயல்பாடுகள் இருந்தாலும், அதன் திறன்கள் தேவையற்ற விளம்பரங்களையும் தாண்டி விரிவடைகின்றன.

தீம்பொருளால் பின்வருவனவற்றைச் செய்ய முடியும்:

• பாதிக்கப்பட்ட கணினிகளில் தன்னிச்சையான ஷெல் கட்டளைகளை இயக்கவும்.
• கோப்பு முறைமையில் உள்ள கோப்புகளுடன் ஊடாடி, அவற்றைக் கையாளவும்.
• சுற்றுச்சூழல் மாறிகள் மற்றும் கணினித் தகவல்களை வெளியேற்றவும்.
• அமைப்பு கைரேகை பதிவை மேற்கொள்ளுங்கள்.
• உலாவி அமர்வுத் தரவைத் திருடுங்கள்.

ஆராய்ச்சியாளர்கள், மார்ச் 2026-இல் கூட FlutterShell சம்பந்தப்பட்ட தீங்கிழைக்கும் செயல்பாட்டைக் கண்டறிந்தனர், இது அந்தத் தாக்குதல் இன்னும் செயலில் இருப்பதைக் காட்டுகிறது.

TamperedChef உடன் தொடர்புடைய, வளர்ந்து வரும் தீம்பொருள் சூழல்

FlutterShell ஒரு தனிப்பட்ட அச்சுறுத்தல் அல்ல. CL-CRI-1089 உடன் தொடர்புடைய செயல்பாடுகளில் Recipe Lister மற்றும் Calendaromatic ஆகியவையும் அடங்கும்; இவை இரண்டும் EvilAI என்றும் அழைக்கப்படும் பரந்த TamperedChef பிரச்சாரத்துடன் தொடர்புடையவை.

டேம்பர்டுசெஃப் பிரச்சாரங்கள், தேவையற்ற நிரல்கள் (PUPs) மற்றும் விளம்பர மென்பொருட்களைப் பரப்புவதற்காக, ட்ரோஜன் ஊடுருவிய உற்பத்தித்திறன் செயலிகளைச் சார்ந்துள்ளன. பயனர்கள் முறையான மென்பொருள் கருவிகளைப் பதிவிறக்கம் செய்கிறார்கள் என்று நம்பவைக்கும் வகையில் வடிவமைக்கப்பட்ட ஏமாற்று விளம்பரப் பிரச்சாரங்கள் மூலம் இந்தத் தீங்கிழைக்கும் செயலிகள் ஊக்குவிக்கப்படுகின்றன.

ஷெல் நிறுவனங்களால் இயக்கப்படும் தீங்கிழைக்கும் விளம்பரங்கள்

இந்தச் செயல்பாட்டின் ஒரு முக்கிய அம்சம், கூகுள் மற்றும் யூடியூப் விளம்பரங்களைப் பயன்படுத்தும் ஒரு விரிவான தீங்கிழைக்கும் விளம்பர வலையமைப்பு ஆகும். தாக்குதல் நடத்துபவர்கள், கூகுளால் சரிபார்க்கப்பட்ட பல போலி நிறுவனங்களைப் பயன்படுத்தி தீங்கிழைக்கும் விளம்பரங்களை வெளியிட்டு ஊக்குவிக்கின்றனர். இது அவர்களின் பிரச்சாரங்களின் நம்பகத்தன்மையை அதிகரிப்பதோடு, விளம்பரத் தளங்களின் ஆய்விலிருந்து தப்பிக்கவும் அவர்களுக்கு உதவுகிறது.

இந்த நடவடிக்கையுடன் தொடர்புடைய நிறுவனங்களில் சில:

ஆட்ஸ்பார்க்ப்ரோ லிமிடெட், அட்வான்டேஜ் வெப் மார்க்கெட்டிங் எல்எல்சி, மற்றும் சாஃப்ட் வீ ஆர்ட் லிமிடெட் (தற்போது பசிபிக் டிரேட் சொல்யூஷன்ஸ் லிமிடெட் என்ற பெயரில் செயல்படுகிறது).
யூகண்ட்ரோல் மற்றும் ஐக்கிய ராஜ்ஜியத்தின் கம்பெனிஸ் ஹவுஸ் பதிவேட்டில் உள்ள கூடுதல் பதிவுகள், இந்த நிறுவனங்களுக்கும் உக்ரேனிய தனிநபர்களுக்கும் இடையே உள்ள தொடர்புகளைச் சுட்டிக்காட்டுகின்றன.

இந்த விளம்பரங்கள் முதன்மையாக அமெரிக்கா, கனடா, ஆஸ்திரேலியா, பிரான்ஸ் மற்றும் ஜெர்மனியில் உள்ள macOS பயனர்களை இலக்காகக் கொண்டுள்ளன. தொடர்புடைய கூகுள் விளம்பரக் கணக்குகளை கூகுள் விளம்பர வெளிப்படைத்தன்மை மையம் மூலம் இனி அணுக முடியாவிட்டாலும், சம்பந்தப்பட்ட நிறுவனங்களுக்கு இடையேயான தொடர்புகளை வரலாற்றுப் பதிவுகள் தொடர்ந்து வெளிப்படுத்துகின்றன.

நம்பகமான பயன்பாடுகள் மூலம் உலாவியைக் கைப்பற்றுதல்

செயல்படுத்தப்பட்டவுடன், FlutterShell ஆனது கூகுள் குரோம் உள்ளமைவு கோப்புகளை மாற்றி, அனைத்து உலாவிப் போக்குவரத்தையும், தாக்குபவரால் கட்டுப்படுத்தப்படும் விளம்பரங்கள் நிறைந்த இடைநிலை வலைத்தளங்கள் வழியாகத் திசைதிருப்புகிறது. இந்த உலாவி கடத்தல் நுட்பம், பயனரின் உலாவல் செயல்பாட்டின் மீதான கட்டுப்பாட்டைத் தக்கவைத்துக்கொண்டே, அச்சுறுத்தல் செய்பவர்கள் வருவாய் ஈட்ட உதவுகிறது.

குறிப்பாகக் கவலைக்குரிய விஷயம் என்னவென்றால், பகுப்பாய்வு செய்யப்பட்ட ஒவ்வொரு மாதிரியும் செல்லுபடியாகும் ஆப்பிள் டெவலப்பர் ஐடிகளைப் பயன்படுத்தி கையொப்பமிடப்பட்டு, ஆப்பிளின் சான்றளிப்புச் செயல்முறையில் வெற்றிகரமாகத் தேர்ச்சி பெற்றிருந்தது. இதன் விளைவாக, செயலிகள் சமர்ப்பிக்கப்பட்ட நேரத்தில், ஆப்பிளின் தானியங்குப் பாதுகாப்பு வழிமுறைகள் அவற்றைத் தீங்கிழைப்பவையாக அடையாளம் காணவில்லை.

வெப்வியூ கட்டமைப்பு, தீம்பொருளின் மாறும் தன்மையுடைய பரிணாம வளர்ச்சியைச் சாத்தியமாக்குகிறது.

FlutterShell-இன் மிகத் தனித்துவமான பண்புகளில் ஒன்று, அது WebView-ஐ அடிப்படையாகக் கொண்ட கட்டமைப்பையும், ஜாவாஸ்கிரிப்ட்டிலிருந்து நேட்டிவ் கணினிக்கு அனுப்பும் ஒரு தகவல் தொடர்புப் பாலத்தையும் இணைத்துப் பயன்படுத்துவதாகும். இந்த மாதிரியில், செயலியானது வலை உள்ளடக்கத்தைக் காண்பிக்கும் ஒரு உலாவி கூறினை உட்பொதிக்கிறது, அதே நேரத்தில் ஜாவாஸ்கிரிப்ட் குறியீட்டை நேட்டிவ் கணினி செயல்பாடுகளுடன் நேரடியாகத் தொடர்பு கொள்ளவும் அனுமதிக்கிறது.

தீங்கிழைக்கும் தர்க்கத்தை நேரடியாகப் பயன்பாட்டு பைனரியில் உட்பொதிப்பதற்குப் பதிலாக, அச்சுறுத்தல் செய்பவர்கள் தீம்பொருளின் செயல்பாட்டின் கணிசமான பகுதிகளைத் தங்கள் கட்டுப்பாட்டில் உள்ள தொலைநிலை இணையதளங்களில் ஹோஸ்ட் செய்கின்றனர். இந்த அணுகுமுறை பல நன்மைகளை வழங்குகிறது:

பயன்பாட்டை மீண்டும் தொகுக்காமலேயே, தீம்பொருளின் செயல்பாட்டை நிகழ் நேரத்தில் மாற்றியமைக்க முடியும்.
புதுப்பிக்கப்பட்ட தீம்பொருள் பைனரிகளை விநியோகிக்காமலேயே புதிய செயல்பாடுகளை அறிமுகப்படுத்த முடியும்.
முக்கிய தீங்கிழைக்கும் தர்க்கம் நிறுவப்பட்ட பயன்பாட்டிற்கு வெளியே இருப்பதால், அதைக் கண்டறிவது மிகவும் கடினமாகிறது.

இந்தக் கட்டமைப்பு, தாக்குபவர்களுக்கு அபாரமான நெகிழ்வுத்தன்மையை அளிப்பதோடு, தற்காப்பு நடவடிக்கைகளுக்கு விரைவாகத் தகவமைத்துக்கொள்ளவும் அனுமதிக்கிறது.

பல்வேறு வகைகள் தீவிர வளர்ச்சியைக் குறிக்கின்றன

ஆராய்ச்சியாளர்கள் பாட்காஸ்ட்ஸ்லவுஞ்ச், பிடிஎஃப்-பிரெய்ன் மற்றும் பிடிஎஃப்-நிஞ்ஜா என அறியப்பட்ட மூன்று ஃபிளட்டர்ஷெல் வகைகளை அடையாளம் கண்டுள்ளனர். தாக்குதல் நடத்தியவர்களின் உள்கட்டமைப்பை ஆய்வு செய்ததில், முழுமையடையாத ஜாவாஸ்கிரிப்ட் செயல்பாடுகளும் முடிக்கப்படாத குறியீட்டுக் கூறுகளும் வெளிப்பட்டன; இது, மேம்பாட்டுப் பணிகள் தொடர்ந்து நடைபெற்று வருவதைச் சுட்டிக்காட்டுகிறது.

PDF-Brain மற்றும் PDF-Ninja போன்ற பல வகைகள், செயற்கை நுண்ணறிவால் இயங்கும் ஆவணச் சுருக்க அம்சங்களைக் கொண்டுள்ளன. இருப்பினும், சுருக்கத்திற்காகச் சமர்ப்பிக்கப்படும் ஆவணங்கள் செயலாக்கப்படுவதற்கு முன்பு, தாக்குதல் நடத்துபவர்களின் கட்டுப்பாட்டில் உள்ள சேவையகங்கள் வழியாக முதலில் அனுப்பப்படுவதால், பாதிக்கப்பட்ட பயனர்களுக்குக் குறிப்பிடத்தக்க தனியுரிமை மற்றும் பாதுகாப்புச் சிக்கல்கள் ஏற்படுகின்றன.

முந்தைய பிரச்சாரங்களுடன் வலுவான தொழில்நுட்ப இணைப்புகள்

FlutterShell, CL-CRI-1089 உடன் தொடர்புடைய முந்தைய தீம்பொருள் குடும்பங்களான Calendaromatic மற்றும் Recipe Lister ஆகியவற்றுடன் குறிப்பிடத்தக்க ஒற்றுமைகளைக் கொண்டுள்ளது. இவற்றில் மிகவும் வெளிப்படையான ஒற்றுமை, பகிரப்பட்ட WebView அடிப்படையிலான கட்டமைப்பாகும். இது, தீங்கிழைக்கும் உள்ளடக்கங்கள் செயல்படுத்தப்பட்ட பிறகு, அவற்றை மாறும் தன்மையுடன் மாற்றியமைக்க உதவுகிறது.

அட்வான்டேஜ் வெப் மார்க்கெட்டிங் எல்எல்சி, தீங்கிழைக்கும் விளம்பரங்களை விநியோகிப்பதில் பங்கேற்றது மட்டுமல்லாமல், அதே அச்சுறுத்தல் தொகுப்புடன் தொடர்புடைய விண்டோஸ் அடிப்படையிலான ஆட்வேர் மாதிரிகளுக்கான கையொப்பமிடும் நிறுவனமாகவும் செயல்பட்டதை புலனாய்வாளர்கள் கண்டறிந்தனர். இந்தக் கண்டுபிடிப்புகள் பல்வேறு பிரச்சாரங்களுக்கு இடையிலான தொடர்புகளை மேலும் வலுப்படுத்துகின்றன.

தொடர்ச்சியான மற்றும் தீவிரமடைந்து வரும் அச்சுறுத்தல் சூழல்

JSCoreRunner-இலிருந்து FlutterShell-க்கு மாறியது, CL-CRI-1089 குழுவின் தொழில்நுட்ப நுட்பத்தில் ஏற்பட்ட கணிசமான அதிகரிப்பை வெளிப்படுத்துகிறது. மேம்பட்ட தீம்பொருள் உருவாக்கம், பெரிய அளவிலான தீங்கிழைக்கும் விளம்பரச் செயல்பாடுகள், மற்றும் விளம்பரத் தளக் கட்டுப்பாடுகளைத் தவிர்ப்பதற்காகச் சரிபார்க்கப்பட்ட போலி நிறுவனங்களைப் பயன்படுத்துதல் ஆகியவற்றின் கலவையானது, அக்குழுவின் தந்திரங்களின் வளர்ந்து வரும் செயல்திறனை எடுத்துக்காட்டுகிறது.

பல்வேறு முன்னணி அமைப்புகளின் ஒருங்கிணைந்த பயன்பாடும், புதிய ஃபிளட்டர்ஷெல் வகைகளின் விரைவான தோற்றமும், 'ஆபரேஷன் ஃபிளட்டர்பிரிட்ஜ்' ஒரு தீவிரமான மற்றும் வளர்ந்து வரும் அச்சுறுத்தலாகத் தொடர்கிறது என்பதைக் காட்டுகின்றன. இந்தத் தாக்குதல் இன்னும் முடிவடையவில்லை என்றும், உலகெங்கிலும் உள்ள மேக்ஓஎஸ் பயனர்களைக் குறிவைக்கத் தனது நுட்பங்களைத் தொடர்ந்து மாற்றியமைக்க வாய்ப்புள்ளது என்றும் பாதுகாப்பு ஆய்வாளர்கள் எச்சரிக்கின்றனர்.