ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ Mac FlutterShell macOS Backdoor

FlutterShell macOS Backdoor

โดย Mezo ใน มัลแวร์ Mac, ประตูหลัง
แปลเป็น:

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบปฏิบัติการโจมตีด้วยมัลแวร์บนระบบปฏิบัติการ macOS ขนาดใหญ่ที่รู้จักกันในชื่อ Operation FlutterBridge ซึ่งรับผิดชอบในการเผยแพร่แบ็กดอร์ที่เพิ่งค้นพบใหม่ชื่อ FlutterShell แคมเปญนี้แสดงถึงวิวัฒนาการล่าสุดของกลุ่มภัยคุกคามที่เคยเกี่ยวข้องกับ JSCoreRunner (หรือที่รู้จักกันในชื่อ FileRipple) ซึ่งเป็นกิจกรรมที่เป็นอันตรายที่ได้รับการบันทึกครั้งแรกในเดือนสิงหาคม 2025

กลุ่มอาชญากรไซเบอร์ที่อยู่เบื้องหลังการโจมตีทั้งสองครั้งนั้นถูกติดตามในชื่อ CL-CRI-1089 และเชื่อว่ามีการเคลื่อนไหวมาตั้งแต่ปี 2023 เป็นอย่างน้อย นักวิเคราะห์ด้านความปลอดภัยมองว่า FlutterShell เป็นความก้าวหน้าครั้งสำคัญในด้านขีดความสามารถและโครงสร้างพื้นฐานของกลุ่มนี้

จากแอดแวร์ไปจนถึงฟังก์ชันแบ็กดอร์เต็มรูปแบบ

FlutterShell พัฒนาขึ้นโดยใช้เฟรมเวิร์ก Flutter ของ Google และแพร่กระจายผ่านแอปพลิเคชันเดสก์ท็อปที่เป็นอันตราย ซึ่งในตอนแรกดูเหมือนจะเป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย แม้ว่ามัลแวร์นี้จะมีฟังก์ชันการทำงานของแอดแวร์ แต่ความสามารถของมันก็ครอบคลุมมากกว่าแค่การโฆษณาที่ไม่พึงประสงค์

มัลแวร์ดังกล่าวสามารถ:

  • สามารถเรียกใช้คำสั่งเชลล์ตามอำเภอใจบนระบบที่ติดไวรัสได้
  • โต้ตอบและจัดการไฟล์ภายในระบบไฟล์
  • ดึงข้อมูลตัวแปรสภาพแวดล้อมและข้อมูลระบบออกมา
  • ทำการตรวจสอบลายนิ้วมือของระบบ
  • ขโมยข้อมูลเซสชันของเบราว์เซอร์

นักวิจัยตรวจพบกิจกรรมที่เป็นอันตรายซึ่งเกี่ยวข้องกับ FlutterShell เมื่อเดือนมีนาคม 2026 ซึ่งบ่งชี้ว่าแคมเปญดังกล่าวยังคงดำเนินอยู่

ระบบนิเวศมัลแวร์ที่กำลังเติบโตซึ่งเชื่อมโยงกับ TamperedChef

FlutterShell ไม่ใช่ภัยคุกคามที่แยกต่างหาก การปฏิบัติการที่เกี่ยวข้องกับ CL-CRI-1089 ยังรวมถึง Recipe Lister และ Calendaromatic ซึ่งทั้งสองอย่างนี้เชื่อมโยงกับแคมเปญ TamperedChef ที่กว้างกว่า หรือที่รู้จักกันในชื่อ EvilAI ด้วย

แคมเปญของ TamperedChef อาศัยแอปพลิเคชันเพิ่มประสิทธิภาพการทำงานที่ติดมัลแวร์เพื่อเผยแพร่โปรแกรมที่ไม่พึงประสงค์ (PUPs) และแอดแวร์ แอปพลิเคชันที่เป็นอันตรายเหล่านี้ถูกโปรโมตผ่านแคมเปญโฆษณาหลอกลวงที่ออกแบบมาเพื่อโน้มน้าวให้ผู้ใช้เชื่อว่าพวกเขากำลังดาวน์โหลดเครื่องมือซอฟต์แวร์ที่ถูกต้องตามกฎหมาย

การโฆษณาที่เป็นอันตราย ดำเนินการโดยบริษัทเชลล์

องค์ประกอบสำคัญของการปฏิบัติการนี้คือเครือข่ายโฆษณาที่เป็นอันตรายขนาดใหญ่ที่ใช้ประโยชน์จากโฆษณาของ Google และ YouTube ผู้โจมตีใช้บริษัทปลอมหลายแห่งที่ได้รับการยืนยันจาก Google เพื่อเผยแพร่และโปรโมตโฆษณาที่เป็นอันตราย ซึ่งช่วยเพิ่มความน่าเชื่อถือให้กับแคมเปญของพวกเขาและช่วยให้พวกเขาสามารถหลีกเลี่ยงการตรวจสอบจากแพลตฟอร์มโฆษณาได้

บริษัทต่างๆ ที่เกี่ยวข้องกับการดำเนินงานนี้ ได้แก่:

AdsParkPro LTD, Advantage Web Marketing LLC และ SOFT WE ART LIMITED (ปัจจุบันดำเนินงานในชื่อ PACIFIC TRADE SOLUTIONS LTD)
ข้อมูลเพิ่มเติมจาก YouControl และ Companies House ของสหราชอาณาจักร ชี้ให้เห็นถึงความเชื่อมโยงระหว่างนิติบุคคลเหล่านี้กับบุคคลชาวยูเครน

โฆษณาเหล่านี้มุ่งเป้าไปที่ผู้ใช้ macOS ในสหรัฐอเมริกา แคนาดา ออสเตรเลีย ฝรั่งเศส และเยอรมนีเป็นหลัก แม้ว่าบัญชี Google Ads ที่เกี่ยวข้องจะไม่สามารถเข้าถึงได้ผ่านทาง Google Ads Transparency Center อีกต่อไปแล้ว แต่บันทึกในอดีตยังคงเปิดเผยความเชื่อมโยงระหว่างหน่วยงานที่เกี่ยวข้องอยู่

การโจรกรรมเบราว์เซอร์ผ่านแอปพลิเคชันที่เชื่อถือได้

เมื่อเรียกใช้งาน FlutterShell จะแก้ไขไฟล์การกำหนดค่าของ Google Chrome เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลทั้งหมดของเบราว์เซอร์ผ่านเว็บไซต์ตัวกลางที่ผู้โจมตีควบคุม ซึ่งเต็มไปด้วยโฆษณา เทคนิคการยึดเบราว์เซอร์นี้ช่วยให้ผู้โจมตีสามารถสร้างรายได้ในขณะที่ยังคงควบคุมกิจกรรมการท่องเว็บของผู้ใช้ได้

สิ่งที่น่ากังวลเป็นพิเศษคือข้อเท็จจริงที่ว่าตัวอย่างที่นำมาวิเคราะห์ทุกตัวอย่างนั้นลงนามโดยใช้ Apple Developer ID ที่ถูกต้องและผ่านกระบวนการรับรองของ Apple อย่างสำเร็จ ส่งผลให้กลไกการรักษาความปลอดภัยอัตโนมัติของ Apple ไม่ได้ระบุว่าแอปพลิเคชันเหล่านั้นเป็นอันตรายในขณะที่ส่งเข้ามา

สถาปัตยกรรม WebView ช่วยให้มัลแวร์สามารถพัฒนาได้อย่างไดนามิก

หนึ่งในคุณลักษณะที่โดดเด่นที่สุดของ FlutterShell คือการใช้สถาปัตยกรรมแบบ WebView ร่วมกับสะพานเชื่อมการสื่อสารระหว่าง JavaScript กับฟังก์ชันเนทีฟ ในโมเดลนี้ แอปพลิเคชันจะฝังส่วนประกอบของเบราว์เซอร์ที่แสดงเนื้อหาเว็บ ในขณะที่อนุญาตให้โค้ด JavaScript สื่อสารโดยตรงกับฟังก์ชันระบบเนทีฟได้

แทนที่จะฝังตรรกะที่เป็นอันตรายลงในไฟล์ไบนารีของแอปพลิเคชันโดยตรง ผู้โจมตีจะโฮสต์ฟังก์ชันการทำงานส่วนสำคัญของมัลแวร์บนเว็บไซต์ระยะไกลที่อยู่ภายใต้การควบคุมของตน วิธีการนี้มีข้อดีหลายประการ:

พฤติกรรมของมัลแวร์สามารถปรับเปลี่ยนได้แบบเรียลไทม์โดยไม่ต้องคอมไพล์แอปพลิเคชันใหม่
สามารถเพิ่มฟังก์ชันการทำงานใหม่ได้โดยไม่ต้องแจกจ่ายไฟล์มัลแวร์เวอร์ชันอัปเดต
การตรวจจับทำได้ยากขึ้น เนื่องจากตรรกะที่เป็นอันตรายหลักนั้นอยู่นอกแอปพลิเคชันที่ติดตั้งไว้

สถาปัตยกรรมนี้มอบความยืดหยุ่นอย่างมากให้แก่ผู้โจมตี และช่วยให้สามารถปรับตัวเข้ากับมาตรการป้องกันได้อย่างรวดเร็ว

ตัวแปรหลายตัวบ่งชี้ถึงการพัฒนาอย่างแข็งขัน

นักวิจัยได้ระบุ FlutterShell เวอร์ชันที่รู้จักกันดี 3 แบบ ได้แก่ PodcastsLounge, PDF-Brain และ PDF-Ninja การวิเคราะห์โครงสร้างพื้นฐานของผู้โจมตีเผยให้เห็นฟังก์ชัน JavaScript ที่ไม่สมบูรณ์และส่วนประกอบโค้ดที่ไม่เสร็จสมบูรณ์ ซึ่งบ่งชี้ว่าการพัฒนายังคงดำเนินต่อไป

โปรแกรม PDF หลายเวอร์ชัน โดยเฉพาะ PDF-Brain และ PDF-Ninja มีคุณสมบัติการสรุปเอกสารโดยใช้ปัญญาประดิษฐ์ อย่างไรก็ตาม เอกสารที่ส่งมาเพื่อสรุปจะถูกส่งผ่านเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมก่อนที่จะประมวลผล ซึ่งก่อให้เกิดความกังวลอย่างมากเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยสำหรับผู้ใช้ที่ได้รับผลกระทบ

การเชื่อมโยงทางเทคนิคที่แข็งแกร่งกับแคมเปญก่อนหน้า

FlutterShell มีความคล้ายคลึงอย่างเห็นได้ชัดกับตระกูลมัลแวร์รุ่นก่อนๆ ที่เชื่อมโยงกับ CL-CRI-1089 โดยเฉพาะอย่างยิ่ง Calendaromatic และ Recipe Lister จุดที่เห็นได้ชัดที่สุดคือสถาปัตยกรรมที่ใช้ WebView เหมือนกัน ซึ่งทำให้สามารถแก้ไขเพย์โหลดที่เป็นอันตรายได้แบบไดนามิกหลังจากการติดตั้ง

นอกจากนี้ ผู้สืบสวนยังพบว่า บริษัท Advantage Web Marketing LLC ไม่เพียงแต่มีส่วนร่วมในการเผยแพร่โฆษณาที่เป็นอันตรายเท่านั้น แต่ยังทำหน้าที่เป็นผู้ลงนามสำหรับตัวอย่างแอดแวร์บนระบบ Windows ที่เชื่อมโยงกับกลุ่มภัยคุกคามเดียวกันอีกด้วย ผลการค้นพบเหล่านี้ยิ่งตอกย้ำความเชื่อมโยงระหว่างแคมเปญต่างๆ เหล่านี้

สถานการณ์ภัยคุกคามที่ต่อเนื่องและทวีความรุนแรงขึ้น

การเปลี่ยนจาก JSCoreRunner ไปเป็น FlutterShell แสดงให้เห็นถึงการพัฒนาทางเทคนิคที่ซับซ้อนขึ้นอย่างมากของกลุ่ม CL-CRI-1089 การผสมผสานระหว่างการพัฒนาโปรแกรมมัลแวร์ขั้นสูง การดำเนินการโฆษณาที่เป็นอันตรายขนาดใหญ่ และการใช้บริษัทเปลือกนอกที่ได้รับการตรวจสอบแล้วเพื่อหลีกเลี่ยงการควบคุมของแพลตฟอร์มโฆษณา เน้นให้เห็นถึงประสิทธิภาพที่เพิ่มขึ้นของกลยุทธ์ของกลุ่มนี้

การใช้กลุ่มองค์กรแนวหน้าหลายกลุ่มอย่างประสานงานกัน ประกอบกับการเกิดขึ้นอย่างรวดเร็วของ FlutterShell เวอร์ชันใหม่ๆ บ่งชี้ว่าปฏิบัติการ FlutterBridge ยังคงเป็นภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องและมีการพัฒนาอยู่ตลอดเวลา นักวิจัยด้านความปลอดภัยเตือนว่าแคมเปญนี้ยังไม่จบลง และมีแนวโน้มที่จะปรับเปลี่ยนเทคนิคเพื่อโจมตีผู้ใช้ macOS ทั่วโลกต่อไป

มาแรง

Lantixprostream.co.in

เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
การระมัดระวังตัวขณะท่องอินเทอร์เน็ตเป็นสิ่งสำคัญ เนื่องจากอาชญากรไซเบอร์พัฒนาวิธีการใหม่ๆ อย่างต่อเนื่องเพื่อหลอกลวงผู้ใช้ที่ไม่ระมัดระวัง...

Vitisubiferive.com

เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
การท่องอินเทอร์เน็ตอย่างปลอดภัยนั้นต้องอาศัยความระมัดระวังอย่างต่อเนื่อง อาชญากรไซเบอร์และมิจฉาชีพออนไลน์มักสร้างเว็บไซต์ปลอมขึ้นมาเพื่อหลอกลวงผู้ใช้งานด้วยกลอุบายต่างๆ...

อีเมลหลอกลวงแจ้งเตือนการอัปเกรดบัญชี cPanel

ฟิชชิ่ง, สแปม
อีเมลที่ไม่คาดคิดซึ่งสร้างความรู้สึกเร่งด่วนควรได้รับการพิจารณาอย่างรอบคอบเสมอ อาชญากรไซเบอร์มักแอบอ้างเป็นแบรนด์และบริการที่น่าเชื่อถือเพื่อหลอกลวงผู้รับให้เปิดเผยข้อมูลสำคัญหรือดาวน์โหลดเนื้อหาที่เป็นอันตราย อีเมลหลอกลวงแจ้งเตือนการอัปเกรดบัญชี cPanel ก็เป็นหนึ่งในแคมเปญฟิชชิ่งดังกล่าว แม้ว่าข้อความจะดูเหมือนมาจาก cPanel แต่ก็ไม่ได้เกี่ยวข้องกับบริษัท องค์กร หรือหน่วยงานที่ถูกต้องตามกฎหมายใดๆ...

เข้าชมมากที่สุด

เอพอนเนอร์ดอทคอม

ปัญหา
21,461
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
20,147
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...