Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Mac Kötü Amaçlı Yazılım FlutterShell macOS Arka Kapısı

FlutterShell macOS Arka Kapısı

Mezo'de Mac Kötü Amaçlı Yazılım, Arka kapılar'de
Çevir:

Siber güvenlik araştırmacıları, FlutterShell adlı yeni tanımlanmış bir arka kapı yazılımını dağıtmaktan sorumlu olan Operation FlutterBridge olarak bilinen büyük ölçekli bir macOS kötü amaçlı reklam operasyonunu ortaya çıkardı. Bu kampanya, ilk olarak Ağustos 2025'te belgelenen kötü amaçlı bir faaliyet olan JSCoreRunner (FileRipple olarak da bilinir) ile daha önce ilişkilendirilen tehdit kümesinin en son evrimini temsil ediyor.

Her iki saldırı zincirinin arkasındaki siber suçlu grubu CL-CRI-1089 olarak takip ediliyor ve en az 2023'ten beri aktif olduğu düşünülüyor. Güvenlik analistleri FlutterShell'i grubun yetenekleri ve altyapısında önemli bir ilerleme olarak görüyor.

Reklam yazılımlarından tam teşekküllü arka kapı işlevselliğine

Google'ın Flutter çerçevesi kullanılarak geliştirilen FlutterShell, başlangıçta meşru görünen kötü amaçlı masaüstü uygulamaları aracılığıyla yayılır. Bu zararlı yazılım reklam yazılımı işlevselliği içerse de, yetenekleri istenmeyen reklamlardan çok daha öteye uzanır.

Bu kötü amaçlı yazılım şunları yapabilir:

  • Virüs bulaşmış sistemlerde rastgele shell komutları çalıştırın.
  • Dosya sistemi içindeki dosyalarla etkileşim kurun ve bunları düzenleyin.
  • Ortam değişkenlerini ve sistem bilgilerini dışarı sızdırın.
  • Sistem parmak izi alma işlemini gerçekleştirin.
  • Tarayıcı oturum verilerini çalın.

Araştırmacılar, FlutterShell'i içeren kötü amaçlı faaliyetlerin en son Mart 2026'da gözlemlendiğini ve bu durumun kampanyanın hala aktif olduğunu gösterdiğini belirtti.

TamperedChef ile bağlantılı, giderek büyüyen bir kötü amaçlı yazılım ekosistemi.

FlutterShell tek başına bir tehdit değil. CL-CRI-1089'a atfedilen operasyonlar arasında, daha geniş kapsamlı TamperedChef kampanyasıyla (EvilAI olarak da bilinir) ilişkili olan Recipe Lister ve Calendaromatic de yer alıyor.

TamperedChef kampanyaları, potansiyel olarak istenmeyen programları (PUP'lar) ve reklam yazılımlarını dağıtmak için truva atı bulaştırılmış üretkenlik uygulamalarına dayanmaktadır. Bu kötü amaçlı uygulamalar, kullanıcılara meşru yazılım araçları indirdiklerine ikna etmek için tasarlanmış aldatıcı reklam kampanyaları aracılığıyla tanıtılmaktadır.

Paravan şirketler tarafından desteklenen kötü amaçlı reklamlar.

Operasyonun kilit unsurlarından biri, Google ve YouTube reklamlarından yararlanan kapsamlı bir kötü amaçlı reklam ağıdır. Saldırganlar, kötü amaçlı reklamları yayınlamak ve tanıtmak için Google tarafından doğrulanmış birden fazla paravan şirket kullanıyor; bu da kampanyalarının güvenilirliğini artırıyor ve reklam platformlarının denetiminden kaçınmalarına yardımcı oluyor.

Operasyonla bağlantılı şirketler arasında şunlar yer almaktadır:

AdsParkPro LTD, Advantage Web Marketing LLC ve SOFT WE ART LIMITED (şu anda PACIFIC TRADE SOLUTIONS LTD olarak faaliyet göstermektedir).
YouControl ve Birleşik Krallık Şirketler Sicilinden elde edilen ek kayıtlar, bu kuruluşlar ile Ukraynalı kişiler arasında bağlantılar olduğunu göstermektedir.

Reklamlar öncelikle Amerika Birleşik Devletleri, Kanada, Avustralya, Fransa ve Almanya'da bulunan macOS kullanıcılarını hedef alıyor. İlgili Google Ads hesaplarına Google Ads Şeffaflık Merkezi üzerinden artık erişilemese de, geçmiş kayıtlar ilgili kuruluşlar arasındaki bağlantıları ortaya koymaya devam ediyor.

Güvenilir Uygulamalar Aracılığıyla Tarayıcı Ele Geçirme

Çalıştırıldıktan sonra, FlutterShell, Google Chrome yapılandırma dosyalarını değiştirerek tüm tarayıcı trafiğini, saldırgan tarafından kontrol edilen ve reklamlarla dolu aracı web sitelerine yönlendirir. Bu tarayıcı ele geçirme tekniği, tehdit aktörlerinin kullanıcıların tarama etkinliği üzerindeki kontrolü korurken gelir elde etmelerini sağlar.

Özellikle endişe verici olan, analiz edilen her örneğin geçerli Apple Geliştirici Kimlikleri kullanılarak imzalanmış olması ve Apple'ın noter tasdik sürecinden başarıyla geçmiş olmasıdır. Sonuç olarak, Apple'ın otomatik güvenlik mekanizmaları, uygulamalar gönderildiği sırada onları kötü amaçlı yazılım olarak tanımlamamıştır.

WebView Mimarisi, Dinamik Kötü Amaçlı Yazılım Evrimini Mümkün Kılıyor

FlutterShell'in en belirgin özelliklerinden biri, WebView tabanlı bir mimariyi JavaScript ile yerel sistem arasında iletişim köprüsüyle birleştirmesidir. Bu modelde, uygulama web içeriğini görüntüleyen bir tarayıcı bileşenini içine yerleştirirken, JavaScript kodunun doğrudan yerel sistem fonksiyonlarıyla iletişim kurmasına olanak tanır.

Saldırganlar, kötü amaçlı mantığı doğrudan uygulama ikili dosyasına yerleştirmek yerine, kötü amaçlı yazılımın işlevselliğinin önemli kısımlarını kendi kontrolleri altındaki uzak web sitelerinde barındırırlar. Bu yaklaşım çeşitli avantajlar sağlar:

Kötü amaçlı yazılımların davranışı, uygulamayı yeniden derlemeye gerek kalmadan gerçek zamanlı olarak değiştirilebilir.
Yeni işlevler, güncellenmiş kötü amaçlı yazılım dosyalarını dağıtmadan da eklenebilir.
Kötü amaçlı yazılımın temel mantığı yüklü uygulamanın dışında yer aldığından, tespit edilmesi daha zor hale gelir.

Bu mimari, saldırganlara olağanüstü esneklik sağlıyor ve savunma önlemlerine hızlı bir şekilde uyum sağlamalarına olanak tanıyor.

Birden fazla varyant, aktif geliştirme çalışmalarına işaret ediyor.

Araştırmacılar, bilinen üç FlutterShell varyantını tespit etti: PodcastsLounge, PDF-Brain ve PDF-Ninja. Saldırganların altyapısının analizi, eksik JavaScript fonksiyonları ve tamamlanmamış kod bileşenleri ortaya çıkardı; bu da geliştirmenin devam ettiğini gösteriyor.

Özellikle PDF-Brain ve PDF-Ninja gibi çeşitli varyantlar, yapay zekâ destekli belge özetleme özelliklerini içermektedir. Bununla birlikte, özetleme için gönderilen belgeler, işlenmeden önce saldırgan tarafından kontrol edilen sunuculardan geçirilmektedir; bu da etkilenen kullanıcılar için önemli gizlilik ve güvenlik endişeleri yaratmaktadır.

Önceki kampanyalarla güçlü teknik bağlantılar

FlutterShell, CL-CRI-1089 ile bağlantılı önceki kötü amaçlı yazılım aileleriyle, özellikle Calendaromatic ve Recipe Lister ile önemli benzerlikler göstermektedir. En belirgin örtüşme, dağıtım sonrasında kötü amaçlı yazılım yüklerinin dinamik olarak değiştirilmesine olanak sağlayan WebView tabanlı mimaridir.

Araştırmacılar ayrıca Advantage Web Marketing LLC'nin yalnızca kötü amaçlı reklamların dağıtımına katılmakla kalmayıp, aynı tehdit kümesiyle ilişkili Windows tabanlı reklam yazılımı örnekleri için imza yetkisi veren kuruluş olarak da hareket ettiğini gözlemledi. Bu bulgular, çeşitli kampanyalar arasındaki bağlantıları daha da güçlendiriyor.

Sürekli ve Artan Bir Tehdit Ortamı

JSCoreRunner'dan FlutterShell'e geçiş, CL-CRI-1089'un teknik yetkinliğinde önemli bir artışı göstermektedir. Gelişmiş kötü amaçlı yazılım geliştirme, büyük ölçekli kötü amaçlı reklam operasyonları ve reklam platformu kontrollerini atlatmak için doğrulanmış paravan şirketlerin kullanımı, grubun taktiklerinin artan etkinliğini vurgulamaktadır.

Birden fazla paravan kuruluşun koordineli kullanımı ve yeni FlutterShell varyantlarının hızla ortaya çıkması, FlutterBridge Operasyonunun aktif ve gelişen bir tehdit olmaya devam ettiğini göstermektedir. Güvenlik araştırmacıları, kampanyanın henüz bitmediği ve dünya çapındaki macOS kullanıcılarını hedef almak için tekniklerini uyarlamaya devam etmesinin muhtemel olduğu konusunda uyarıyor.

trend

CPanel Hesap Yükseltme Bildirimi E-posta...

Kimlik avı, İstenmeyen e-posta
Beklenmedik ve aciliyet hissi yaratan e-postalar her zaman dikkatle ele alınmalıdır. Siber suçlular, alıcıları hassas bilgileri ifşa etmeye veya kötü amaçlı içerik indirmeye kandırmak için sıklıkla güvenilir markaları ve hizmetleri taklit ederler. cPanel Hesap Yükseltme Bildirimi e-posta dolandırıcılığı da bu tür bir kimlik avı kampanyasıdır. Mesajlar cPanel'den geliyormuş gibi görünse de,...

En çok görüntülenen

Yükleniyor...