ఫ్లట్టర్‌షెల్ మాక్‌ఓఎస్ బ్యాక్‌డోర్

సైబర్‌ సెక్యూరిటీ పరిశోధకులు 'ఆపరేషన్ ఫ్లట్టర్‌బ్రిడ్జ్'గా పిలువబడే ఒక భారీ స్థాయి మాక్‌ఓఎస్ మాల్‌వర్టైజింగ్ ఆపరేషన్‌ను వెలికితీశారు. ఇది 'ఫ్లట్టర్‌షెల్' అనే కొత్తగా గుర్తించిన బ్యాక్‌డోర్‌ను పంపిణీ చేయడానికి బాధ్యత వహిస్తోంది. ఈ ప్రచారం, ఆగస్టు 2025లో మొదటిసారిగా నమోదు చేయబడిన ఒక హానికరమైన చర్య అయిన JSCoreRunner (దీనిని FileRipple అని కూడా పిలుస్తారు)తో గతంలో సంబంధం ఉన్న ముప్పుల సమూహం యొక్క తాజా పరిణామాన్ని సూచిస్తుంది.

ఈ రెండు దాడుల వెనుక ఉన్న సైబర్ నేరగాళ్ల సమూహాన్ని CL-CRI-1089గా గుర్తించారు మరియు ఇది కనీసం 2023 నుండి చురుకుగా ఉందని నమ్ముతున్నారు. భద్రతా విశ్లేషకులు ఫ్లట్టర్‌షెల్‌ను ఆ సమూహం యొక్క సామర్థ్యాలు మరియు మౌలిక సదుపాయాలలో ఒక ముఖ్యమైన పురోగతిగా పరిగణిస్తున్నారు.

యాడ్‌వేర్ నుండి పూర్తి బ్యాక్‌డోర్ కార్యాచరణ వరకు

గూగుల్ ఫ్లట్టర్ ఫ్రేమ్‌వర్క్‌ను ఉపయోగించి అభివృద్ధి చేయబడిన ఫ్లట్టర్‌షెల్, ప్రారంభంలో చట్టబద్ధమైనవిగా కనిపించే హానికరమైన డెస్క్‌టాప్ అప్లికేషన్‌ల ద్వారా పంపిణీ చేయబడుతుంది. ఈ మాల్వేర్‌లో యాడ్‌వేర్ కార్యాచరణ ఉన్నప్పటికీ, దాని సామర్థ్యాలు అవాంఛిత ప్రకటనలకు మించి విస్తరించి ఉన్నాయి.

మాల్వేర్ వీటిని చేయగలదు:

• ఇన్ఫెక్ట్ అయిన సిస్టమ్‌లపై ఏకపక్ష షెల్ కమాండ్‌లను అమలు చేయండి.
• ఫైల్ సిస్టమ్‌లోని ఫైల్‌లతో సంకర్షణ చెందండి మరియు వాటిని మార్చండి.
• పర్యావరణ వేరియబుల్స్ మరియు సిస్టమ్ సమాచారాన్ని బయటకు పంపండి.
• సిస్టమ్ ఫింగర్‌ప్రింటింగ్ నిర్వహించండి.
• బ్రౌజర్ సెషన్ డేటాను దొంగిలించండి.

పరిశోధకులు 2026 మార్చిలో కూడా ఫ్లట్టర్‌షెల్‌కు సంబంధించిన హానికరమైన కార్యకలాపాలను గమనించారు, ఇది ఆ ప్రచారం ఇంకా కొనసాగుతోందని సూచిస్తుంది.

ట్యాంపర్డ్‌చెఫ్‌తో ముడిపడి ఉన్న పెరుగుతున్న మాల్వేర్ ఎకోసిస్టమ్

ఫ్లట్టర్‌షెల్ అనేది ఒక వివిక్తమైన ముప్పు కాదు. CL-CRI-1089కి ఆపాదించబడిన కార్యకలాపాలలో రెసిపీ లిస్టర్ మరియు క్యాలెండరోమాటిక్ కూడా ఉన్నాయి, ఈ రెండూ ఈవిల్ఏఐ అని కూడా పిలువబడే విస్తృతమైన ట్యాంపర్డ్‌చెఫ్ ప్రచారంతో సంబంధం కలిగి ఉన్నాయి.

ట్యాంపర్డ్‌చెఫ్ క్యాంపెయిన్‌లు, అవాంఛిత ప్రోగ్రామ్‌లు (PUPలు) మరియు యాడ్‌వేర్‌లను పంపిణీ చేయడానికి ట్రోజనైజ్డ్ ప్రొడక్టివిటీ అప్లికేషన్‌లపై ఆధారపడతాయి. వినియోగదారులు చట్టబద్ధమైన సాఫ్ట్‌వేర్ సాధనాలను డౌన్‌లోడ్ చేసుకుంటున్నారని నమ్మించేలా రూపొందించిన మోసపూరిత ప్రకటనల ప్రచారాల ద్వారా ఈ హానికరమైన అప్లికేషన్‌లు ప్రచారం చేయబడతాయి.

షెల్ కంపెనీల ద్వారా హానికరమైన ప్రకటనలు

ఈ ఆపరేషన్‌లో ఒక కీలక అంశం ఏమిటంటే, గూగుల్ మరియు యూట్యూబ్ ప్రకటనలను ఉపయోగించుకునే ఒక విస్తృతమైన మాల్‌వర్టైజింగ్ నెట్‌వర్క్. దాడి చేసేవారు హానికరమైన ప్రకటనలను ప్రచురించడానికి మరియు ప్రచారం చేయడానికి గూగుల్ ధృవీకరించిన అనేక బూటకపు కంపెనీలను ఉపయోగిస్తారు. ఇది వారి ప్రచారాల విశ్వసనీయతను పెంచి, ప్రకటనల ప్లాట్‌ఫారమ్‌ల పరిశీలన నుండి తప్పించుకోవడానికి వారికి సహాయపడుతుంది.

ఈ ఆపరేషన్‌తో సంబంధం ఉన్న కంపెనీలలో ఇవి ఉన్నాయి:

యాడ్స్‌పార్క్‌ప్రో LTD, అడ్వాంటేజ్ వెబ్ మార్కెటింగ్ LLC, మరియు సాఫ్ట్ వి ఆర్ట్ లిమిటెడ్ (ప్రస్తుతం పసిఫిక్ ట్రేడ్ సొల్యూషన్స్ LTD గా పనిచేస్తోంది).
యూకంట్రోల్ మరియు యునైటెడ్ కింగ్‌డమ్ కంపెనీస్ హౌస్ రిజిస్ట్రీ నుండి లభించిన అదనపు రికార్డులు, ఈ సంస్థలకు మరియు ఉక్రేనియన్ వ్యక్తులకు మధ్య సంబంధాలు ఉన్నాయని సూచిస్తున్నాయి.

ఈ ప్రకటనలు ప్రధానంగా యునైటెడ్ స్టేట్స్, కెనడా, ఆస్ట్రేలియా, ఫ్రాన్స్ మరియు జర్మనీలలో ఉన్న macOS వినియోగదారులను లక్ష్యంగా చేసుకుంటాయి. సంబంధిత గూగుల్ యాడ్స్ ఖాతాలు గూగుల్ యాడ్స్ ట్రాన్స్‌పరెన్సీ సెంటర్ ద్వారా ఇకపై అందుబాటులో లేనప్పటికీ, ఇందులో పాలుపంచుకున్న సంస్థల మధ్య ఉన్న సంబంధాలను చారిత్రక రికార్డులు వెల్లడిస్తూనే ఉన్నాయి.

విశ్వసనీయ అప్లికేషన్ల ద్వారా బ్రౌజర్ హైజాకింగ్

ఒకసారి అమలు చేసిన తర్వాత, ఫ్లట్టర్‌షెల్ గూగుల్ క్రోమ్ కాన్ఫిగరేషన్ ఫైళ్లను సవరించి, బ్రౌజర్ ట్రాఫిక్ మొత్తాన్ని, దాడి చేసేవారి నియంత్రణలో ఉండి ప్రకటనలతో నిండిన మధ్యవర్తి వెబ్‌సైట్‌ల ద్వారా మళ్లిస్తుంది. ఈ బ్రౌజర్ హైజాకింగ్ పద్ధతి, వినియోగదారుల బ్రౌజింగ్ కార్యకలాపాలపై నియంత్రణను కొనసాగిస్తూనే, ముప్పు కలిగించేవారికి ఆదాయాన్ని సంపాదించడానికి వీలు కల్పిస్తుంది.

ముఖ్యంగా ఆందోళన కలిగించే విషయం ఏమిటంటే, విశ్లేషించబడిన ప్రతి నమూనా చెల్లుబాటు అయ్యే ఆపిల్ డెవలపర్ ఐడీలను ఉపయోగించి సంతకం చేయబడింది మరియు ఆపిల్ యొక్క నోటరైజేషన్ ప్రక్రియను విజయవంతంగా పూర్తి చేసింది. ఫలితంగా, అప్లికేషన్‌లు సమర్పించబడిన సమయంలో ఆపిల్ యొక్క స్వయంచాలక భద్రతా యంత్రాంగాలు వాటిని హానికరమైనవిగా గుర్తించలేదు.

వెబ్‌వ్యూ ఆర్కిటెక్చర్ డైనమిక్ మాల్వేర్ పరిణామాన్ని సాధ్యం చేస్తుంది

ఫ్లట్టర్‌షెల్ యొక్క అత్యంత విశిష్ట లక్షణాలలో ఒకటి, వెబ్‌వ్యూ ఆధారిత ఆర్కిటెక్చర్‌ను జావాస్క్రిప్ట్-టు-నేటివ్ కమ్యూనికేషన్ బ్రిడ్జ్‌తో కలిపి ఉపయోగించడం. ఈ నమూనాలో, అప్లికేషన్ వెబ్ కంటెంట్‌ను ప్రదర్శించే బ్రౌజర్ కాంపోనెంట్‌ను పొందుపరుస్తుంది, అదే సమయంలో జావాస్క్రిప్ట్ కోడ్ నేరుగా నేటివ్ సిస్టమ్ ఫంక్షన్‌లతో కమ్యూనికేట్ చేయడానికి అనుమతిస్తుంది.

హానికరమైన లాజిక్‌ను నేరుగా అప్లికేషన్ బైనరీలో పొందుపరచడానికి బదులుగా, ముప్పు కలిగించేవారు మాల్వేర్ యొక్క కార్యాచరణలోని ముఖ్యమైన భాగాలను తమ నియంత్రణలో ఉన్న రిమోట్ వెబ్‌సైట్‌లలో హోస్ట్ చేస్తారు. ఈ విధానం అనేక ప్రయోజనాలను అందిస్తుంది:

అప్లికేషన్‌ను తిరిగి కంపైల్ చేయకుండానే మాల్వేర్ ప్రవర్తనను నిజ సమయంలో సవరించవచ్చు.
అప్‌డేట్ చేయబడిన మాల్వేర్ బైనరీలను పంపిణీ చేయకుండానే కొత్త కార్యాచరణను ప్రవేశపెట్టవచ్చు.
ప్రధాన హానికరమైన లాజిక్ ఇన్‌స్టాల్ చేయబడిన అప్లికేషన్‌కు వెలుపల ఉండటం వల్ల, దానిని గుర్తించడం మరింత కష్టతరం అవుతుంది.

ఈ నిర్మాణం దాడి చేసేవారికి అసాధారణమైన సౌలభ్యాన్ని ఇస్తుంది మరియు రక్షణ చర్యలకు వేగంగా అనుగుణంగా మారడానికి వీలు కల్పిస్తుంది.

బహుళ వైవిధ్యాలు చురుకైన అభివృద్ధిని సూచిస్తాయి

పరిశోధకులు పాడ్‌కాస్ట్స్‌లౌంజ్, పిడిఎఫ్-బ్రెయిన్, మరియు పిడిఎఫ్-నింజా అనే మూడు తెలిసిన ఫ్లట్టర్‌షెల్ వేరియంట్‌లను గుర్తించారు. దాడి చేసేవారి మౌలిక సదుపాయాల విశ్లేషణలో అసంపూర్ణమైన జావాస్క్రిప్ట్ ఫంక్షన్‌లు మరియు పూర్తికాని కోడ్ భాగాలు బయటపడ్డాయి, ఇది అభివృద్ధి ఇంకా కొనసాగుతోందని సూచిస్తుంది.

అనేక వేరియంట్లు, ముఖ్యంగా PDF-Brain మరియు PDF-Ninja, కృత్రిమ మేధస్సుతో పనిచేసే డాక్యుమెంట్ సారాంశీకరణ ఫీచర్లను కలిగి ఉన్నాయి. అయితే, సారాంశం కోసం సమర్పించిన డాక్యుమెంట్లు ప్రాసెస్ చేయడానికి ముందు, దాడి చేసేవారి నియంత్రణలో ఉన్న సర్వర్‌ల ద్వారా పంపబడతాయి, ఇది ప్రభావిత వినియోగదారులకు గణనీయమైన గోప్యత మరియు భద్రతా సమస్యలను సృష్టిస్తుంది.

మునుపటి ప్రచారాలతో బలమైన సాంకేతిక సంబంధాలు

ఫ్లట్టర్‌షెల్, CL-CRI-1089తో సంబంధం ఉన్న మునుపటి మాల్వేర్ కుటుంబాలైన క్యాలెండరోమాటిక్ మరియు రెసిపీ లిస్టర్‌లతో గుర్తించదగిన సారూప్యతలను పంచుకుంటుంది. అత్యంత స్పష్టమైన సారూప్యత ఏమిటంటే, రెండూ పంచుకునే వెబ్‌వ్యూ-ఆధారిత నిర్మాణం. ఇది, హానికరమైన పేలోడ్‌లను అమలు చేసిన తర్వాత వాటిని డైనమిక్‌గా సవరించడానికి వీలు కల్పిస్తుంది.

అడ్వాంటేజ్ వెబ్ మార్కెటింగ్ LLC హానికరమైన ప్రకటనలను పంపిణీ చేయడంలో పాల్గొనడమే కాకుండా, అదే ముప్పు సమూహానికి సంబంధించిన విండోస్ ఆధారిత యాడ్‌వేర్ నమూనాలకు సంతకం చేసే సంస్థగా కూడా వ్యవహరించిందని దర్యాప్తుదారులు గమనించారు. ఈ పరిశోధనలు వివిధ ప్రచారాల మధ్య ఉన్న సంబంధాలను మరింత బలపరుస్తున్నాయి.

నిరంతరంగా పెరుగుతున్న ముప్పుల వాతావరణం

JSCoreRunner నుండి FlutterShellకు మారడం అనేది CL-CRI-1089 వారి సాంకేతిక నైపుణ్యంలో గణనీయమైన పెరుగుదలను ప్రదర్శిస్తుంది. అధునాతన మాల్వేర్ అభివృద్ధి, భారీ స్థాయి మాల్‌వర్టైజింగ్ కార్యకలాపాలు, మరియు ప్రకటనల ప్లాట్‌ఫారమ్ నియంత్రణలను తప్పించుకోవడానికి ధృవీకరించబడిన షెల్ కంపెనీలను ఉపయోగించడం వంటి వాటి కలయిక, ఈ బృందం యొక్క వ్యూహాల పెరుగుతున్న ప్రభావాన్ని స్పష్టం చేస్తుంది.

అనేక ఫ్రంట్ ఆర్గనైజేషన్లను సమన్వయంతో ఉపయోగించడం, అలాగే కొత్త ఫ్లట్టర్‌షెల్ వేరియంట్లు వేగంగా పుట్టుకొస్తుండటం వంటి అంశాలు, ఆపరేషన్ ఫ్లట్టర్‌బ్రిడ్జ్ ఇప్పటికీ చురుకుగా ఉంటూ, పరిణామం చెందుతున్న ముప్పుగా కొనసాగుతోందని సూచిస్తున్నాయి. ఈ క్యాంపెయిన్ ఇంకా ముగియలేదని, ప్రపంచవ్యాప్తంగా ఉన్న మాక్‌ఓఎస్ వినియోగదారులను లక్ష్యంగా చేసుకోవడానికి ఇది తన పద్ధతులను మార్చుకుంటూనే ఉండే అవకాశం ఉందని భద్రతా పరిశోధకులు హెచ్చరిస్తున్నారు.