Lỗ hổng bảo mật FlutterShell dành cho macOS

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại quy mô lớn trên macOS có tên gọi Chiến dịch FlutterBridge, chịu trách nhiệm phân phối một phần mềm độc hại mới được xác định có tên FlutterShell. Chiến dịch này thể hiện sự phát triển mới nhất của một cụm mối đe dọa trước đây có liên quan đến JSCoreRunner (còn được gọi là FileRipple), một hoạt động độc hại được ghi nhận lần đầu vào tháng 8 năm 2025.

Nhóm tội phạm mạng đứng sau cả hai chuỗi tấn công được theo dõi với mã số CL-CRI-1089 và được cho là đã hoạt động ít nhất từ năm 2023. Các nhà phân tích an ninh xem FlutterShell là một bước tiến đáng kể về khả năng và cơ sở hạ tầng của nhóm này.

Từ phần mềm quảng cáo đến chức năng cửa hậu hoàn chỉnh

Được phát triển bằng khung phần mềm Flutter của Google, FlutterShell được phát tán thông qua các ứng dụng máy tính để bàn độc hại thoạt nhìn có vẻ hợp pháp. Mặc dù phần mềm độc hại này bao gồm chức năng quảng cáo, nhưng khả năng của nó còn vượt xa hơn cả việc quảng cáo không mong muốn.

Phần mềm độc hại này có thể:

• Thực thi các lệnh shell tùy ý trên các hệ thống bị nhiễm.
• Tương tác và thao tác với các tệp trong hệ thống tệp.
• Trích xuất các biến môi trường và thông tin hệ thống.
• Tiến hành nhận dạng dấu vân tay hệ thống.
• Đánh cắp dữ liệu phiên duyệt web.

Các nhà nghiên cứu đã quan sát thấy hoạt động độc hại liên quan đến FlutterShell gần đây nhất là vào tháng 3 năm 2026, cho thấy chiến dịch này vẫn đang hoạt động.

Một hệ sinh thái phần mềm độc hại đang phát triển có liên quan đến TamperedChef

FlutterShell không phải là mối đe dọa riêng lẻ. Các hoạt động liên quan đến CL-CRI-1089 cũng bao gồm Recipe Lister và Calendaromatic, cả hai đều liên quan đến chiến dịch TamperedChef rộng lớn hơn, còn được gọi là EvilAI.

Các chiến dịch TamperedChef dựa vào các ứng dụng năng suất bị nhiễm mã độc Trojan để phát tán các chương trình không mong muốn (PUP) và phần mềm quảng cáo. Các ứng dụng độc hại này được quảng bá thông qua các chiến dịch quảng cáo lừa đảo, được thiết kế để thuyết phục người dùng rằng họ đang tải xuống các công cụ phần mềm hợp pháp.

Quảng cáo độc hại được thực hiện bởi các công ty ma.

Một yếu tố then chốt của chiến dịch này là mạng lưới quảng cáo độc hại quy mô lớn, tận dụng quảng cáo của Google và YouTube. Những kẻ tấn công sử dụng nhiều công ty bình phong được Google xác minh để đăng tải và quảng bá các quảng cáo độc hại, tăng độ tin cậy cho các chiến dịch của chúng và giúp chúng né tránh sự kiểm soát của các nền tảng quảng cáo.

Trong số các công ty có liên quan đến hoạt động này có:

AdsParkPro LTD, Advantage Web Marketing LLC và SOFT WE ART LIMITED (nay hoạt động dưới tên PACIFIC TRADE SOLUTIONS LTD).
Các hồ sơ bổ sung từ YouControl và cơ quan đăng ký doanh nghiệp Companies House của Vương quốc Anh cho thấy mối liên hệ giữa các thực thể này và các cá nhân người Ukraine.

Các quảng cáo chủ yếu nhắm mục tiêu đến người dùng macOS tại Hoa Kỳ, Canada, Úc, Pháp và Đức. Mặc dù các tài khoản Google Ads liên quan không còn truy cập được thông qua Trung tâm Minh bạch Google Ads, nhưng các hồ sơ lịch sử vẫn tiếp tục cho thấy mối liên hệ giữa các thực thể liên quan.

Tấn công chiếm quyền điều khiển trình duyệt thông qua các ứng dụng đáng tin cậy

Sau khi được thực thi, FlutterShell sẽ sửa đổi các tệp cấu hình của Google Chrome để chuyển hướng toàn bộ lưu lượng truy cập trình duyệt thông qua các trang web trung gian do kẻ tấn công kiểm soát, chứa đầy quảng cáo. Kỹ thuật chiếm quyền điều khiển trình duyệt này cho phép các tác nhân đe dọa tạo ra doanh thu trong khi vẫn duy trì quyền kiểm soát hoạt động duyệt web của người dùng.

Điều đáng lo ngại nhất là mọi mẫu được phân tích đều được ký bằng ID nhà phát triển Apple hợp lệ và đã vượt qua thành công quy trình chứng thực của Apple. Do đó, các cơ chế bảo mật tự động của Apple đã không xác định các ứng dụng này là độc hại tại thời điểm chúng được gửi đi.

Kiến trúc WebView cho phép sự tiến hóa năng động của phần mềm độc hại

Một trong những đặc điểm nổi bật nhất của FlutterShell là việc sử dụng kiến trúc dựa trên WebView kết hợp với cầu nối giao tiếp giữa JavaScript và mã gốc. Trong mô hình này, ứng dụng nhúng một thành phần trình duyệt hiển thị nội dung web đồng thời cho phép mã JavaScript giao tiếp trực tiếp với các chức năng hệ thống gốc.

Thay vì nhúng trực tiếp logic độc hại vào mã nhị phân của ứng dụng, các tác nhân đe dọa lưu trữ phần lớn chức năng của phần mềm độc hại trên các trang web từ xa do chúng kiểm soát. Cách tiếp cận này mang lại một số lợi thế:

Hành vi của phần mềm độc hại có thể được điều chỉnh trong thời gian thực mà không cần biên dịch lại ứng dụng.
Chức năng mới có thể được giới thiệu mà không cần phân phối các bản cập nhật phần mềm độc hại.
Việc phát hiện trở nên khó khăn hơn vì logic độc hại cốt lõi nằm bên ngoài ứng dụng đã được cài đặt.

Kiến trúc này mang lại cho kẻ tấn công sự linh hoạt vượt trội và cho phép thích ứng nhanh chóng với các biện pháp phòng thủ.

Nhiều biến thể báo hiệu sự phát triển tích cực

Các nhà nghiên cứu đã xác định được ba biến thể FlutterShell đã biết: PodcastsLounge, PDF-Brain và PDF-Ninja. Phân tích cơ sở hạ tầng của những kẻ tấn công cho thấy các hàm JavaScript chưa hoàn chỉnh và các thành phần mã chưa hoàn thiện, cho thấy quá trình phát triển vẫn đang tiếp diễn.

Một số biến thể, đặc biệt là PDF-Brain và PDF-Ninja, tích hợp các tính năng tóm tắt tài liệu được hỗ trợ bởi trí tuệ nhân tạo. Tuy nhiên, các tài liệu được gửi để tóm tắt trước tiên sẽ được chuyển qua các máy chủ do kẻ tấn công kiểm soát trước khi xử lý, tạo ra những lo ngại đáng kể về quyền riêng tư và bảo mật cho người dùng bị ảnh hưởng.

Liên kết kỹ thuật chặt chẽ với các chiến dịch trước đó

FlutterShell có những điểm tương đồng đáng chú ý với các họ phần mềm độc hại trước đây liên quan đến CL-CRI-1089, đặc biệt là Calendaromatic và Recipe Lister. Điểm trùng lặp rõ ràng nhất là kiến trúc dựa trên WebView, cho phép sửa đổi động các tải trọng độc hại sau khi triển khai.

Các nhà điều tra cũng phát hiện ra rằng Advantage Web Marketing LLC không chỉ tham gia vào việc phân phối quảng cáo độc hại mà còn đóng vai trò là đơn vị ký kết cho các mẫu phần mềm quảng cáo dựa trên Windows liên quan đến cùng một nhóm mối đe dọa. Những phát hiện này càng củng cố thêm mối liên hệ giữa các chiến dịch khác nhau.

Một bức tranh về mối đe dọa dai dẳng và ngày càng leo thang

Việc chuyển đổi từ JSCoreRunner sang FlutterShell cho thấy sự gia tăng đáng kể về độ tinh vi kỹ thuật của CL-CRI-1089. Sự kết hợp giữa việc phát triển phần mềm độc hại tiên tiến, các hoạt động quảng cáo độc hại quy mô lớn và việc sử dụng các công ty ma đã được xác minh để vượt qua các biện pháp kiểm soát của nền tảng quảng cáo cho thấy hiệu quả ngày càng tăng của các chiến thuật của nhóm này.

Việc phối hợp sử dụng nhiều tổ chức bình phong, cùng với sự xuất hiện nhanh chóng của các biến thể FlutterShell mới, cho thấy Chiến dịch FlutterBridge vẫn là một mối đe dọa đang hoạt động và không ngừng phát triển. Các nhà nghiên cứu bảo mật cảnh báo rằng chiến dịch này còn lâu mới kết thúc và có khả năng sẽ tiếp tục điều chỉnh các kỹ thuật của mình để nhắm mục tiêu vào người dùng macOS trên toàn thế giới.