Бекдор FlutterShell для macOS
Дослідники з кібербезпеки виявили масштабну операцію зі шкідливої реклами в macOS, відому як Operation FlutterBridge, яка відповідає за розповсюдження нещодавно виявленого бекдору під назвою FlutterShell. Ця кампанія є останньою еволюцією кластера загроз, раніше пов'язаного з JSCoreRunner (також відомим як FileRipple), шкідливою активністю, вперше задокументованою в серпні 2025 року.
Кіберзлочинну групу, що стоїть за обома ланцюгами атак, відстежують як CL-CRI-1089 і вважають, що вона активна щонайменше з 2023 року. Аналітики з безпеки розглядають FlutterShell як значний крок у розвитку можливостей та інфраструктури групи.
Зміст
Від рекламного ПЗ до повноцінної функціональності бекдору
Розроблений за допомогою платформи Google Flutter, FlutterShell постачається через шкідливі настільні програми, які спочатку здаються легітимними. Хоча шкідливе ПЗ містить функції рекламного ПЗ, його можливості виходять далеко за рамки небажаної реклами.
Шкідливе програмне забезпечення може:
- Виконувати довільні команди оболонки на заражених системах.
- Взаємодіяти з файлами та маніпулювати ними у файловій системі.
- Вилучити змінні середовища та системну інформацію.
- Проведіть системну збірку відбитків пальців.
- Крадіжка даних сеансу браузера.
Дослідники спостерігали шкідливу активність, пов'язану з FlutterShell, ще у березні 2026 року, що свідчить про те, що кампанія залишається активною.
Зростаюча екосистема шкідливого програмного забезпечення, пов’язана з TamperedChef
FlutterShell — не ізольована загроза. Операції, що приписуються CL-CRI-1089, також включають Recipe Lister та Calendaromatic, обидві пов'язані з ширшою кампанією TamperedChef, також відомою як EvilAI.
Кампанії TamperedChef покладаються на троянські програми для підвищення продуктивності для розповсюдження потенційно небажаних програм (PUP) та рекламного ПЗ. Ці шкідливі програми просуваються за допомогою оманливих рекламних кампаній, розроблених для того, щоб переконати користувачів, що вони завантажують легітимні програмні інструменти.
Шкідлива реклама, що розповсюджується через компанії-оболонки
Ключовим елементом операції є розгалужена мережа шкідливої реклами, яка використовує рекламу Google та YouTube. Зловмисники використовують кілька перевірених Google підставних компаній для публікації та просування шкідливої реклами, що підвищує довіру до їхніх кампаній та допомагає їм уникати перевірки рекламних платформ.
Серед компаній, пов'язаних з цією операцією, є:
AdsParkPro LTD, Advantage Web Marketing LLC та SOFT WE ART LIMITED (тепер працює як PACIFIC TRADE SOLUTIONS LTD).
Додаткові записи з YouControl та реєстру компаній Великої Британії вказують на зв'язки між цими організаціями та українськими фізичними особами.
Реклама в основному орієнтована на користувачів macOS, розташованих у Сполучених Штатах, Канаді, Австралії, Франції та Німеччині. Хоча пов’язані облікові записи Google Ads більше не доступні через Центр прозорості Google Ads, історичні записи продовжують розкривати зв’язки між відповідними організаціями.
Викрадення браузера через надійні програми
Після запуску FlutterShell змінює файли конфігурації Google Chrome, щоб перенаправляти весь трафік браузера через контрольовані зловмисниками посередницькі веб-сайти, заповнені рекламою. Ця техніка захоплення браузера дозволяє зловмисникам отримувати дохід, зберігаючи контроль над активністю користувачів у веб-перегляді.
Особливе занепокоєння викликає той факт, що кожен проаналізований зразок був підписаний з використанням дійсних ідентифікаторів розробника Apple та успішно пройшов процес нотаріального засвідчення Apple. Як наслідок, автоматизовані механізми безпеки Apple не ідентифікували програми як шкідливі на момент їх надсилання.
Архітектура WebView забезпечує динамічну еволюцію шкідливого програмного забезпечення
Однією з найвиразніших характеристик FlutterShell є використання архітектури на основі WebView у поєднанні з комунікаційним мостом JavaScript-to-native. У цій моделі додаток вбудовує компонент браузера, який відображає веб-контент, дозволяючи коду JavaScript безпосередньо взаємодіяти з нативними функціями системи.
Замість того, щоб вбудовувати шкідливу логіку безпосередньо у бінарний файл програми, зловмисники розміщують значну частину функціональності шкідливого програмного забезпечення на віддалених вебсайтах, що знаходяться під їхнім контролем. Такий підхід має кілька переваг:
Поведінку шкідливого програмного забезпечення можна змінювати в режимі реального часу без перекомпіляції програми.
Нові функції можна впроваджувати без розповсюдження оновлених бінарних файлів шкідливого програмного забезпечення.
Виявлення стає складнішим, оскільки основна логіка шкідливого програмного забезпечення знаходиться поза межами встановленої програми.
Така архітектура надає атакуючим виняткову гнучкість і дозволяє швидко адаптуватися до оборонних заходів.
Кілька варіантів сигналізують про активний розвиток
Дослідники виявили три відомі варіанти FlutterShell: PodcastsLounge, PDF-Brain та PDF-Ninja. Аналіз інфраструктури зловмисників виявив неповні функції JavaScript та незавершені компоненти коду, що свідчить про те, що розробка триває.
Кілька варіантів, зокрема PDF-Brain та PDF-Ninja, містять функції резюме документів на основі штучного інтелекту. Однак документи, надіслані для резюме, спочатку проходять через сервери, контрольовані зловмисниками, перш ніж обробляються, що створює значні проблеми конфіденційності та безпеки для постраждалих користувачів.
Міцні технічні зв’язки з попередніми кампаніями
FlutterShell має помітну схожість з попередніми сімействами шкідливих програм, пов'язаними з CL-CRI-1089, зокрема Calendaromatic та Recipe Lister. Найбільш очевидним збігом є спільна архітектура на основі WebView, яка дозволяє динамічно модифікувати шкідливі корисні навантаження після розгортання.
Слідчі також виявили, що Advantage Web Marketing LLC не лише брала участь у розповсюдженні шкідливої реклами, але й діяла як особа, що підписує зразки рекламного програмного забезпечення для Windows, пов'язані з тим самим кластером загроз. Ці висновки ще більше підтверджують зв'язки між різними кампаніями.
Постійний та зростаючий ландшафт загроз
Перехід від JSCoreRunner до FlutterShell демонструє суттєве підвищення технічної складності згідно з CL-CRI-1089. Поєднання передової розробки шкідливого програмного забезпечення, масштабних операцій зі шкідливою рекламою та використання перевірених фіктивних компаній для обходу контролю рекламних платформ підкреслює зростаючу ефективність тактики групи.
Скоординоване використання кількох прихованих організацій разом зі швидкою появою нових варіантів FlutterShell свідчить про те, що операція FlutterBridge залишається активною та постійно розвивається загрозою. Дослідники безпеки попереджають, що кампанія ще далека від завершення та, ймовірно, продовжить адаптувати свої методи для атаки на користувачів macOS по всьому світу.
