FlutterShell macOS 後門
網路安全研究人員發現了一項名為「FlutterBridge行動」的大規模macOS惡意廣告活動,該活動傳播了一種名為FlutterShell的新型後門程式。此次活動是先前與JSCoreRunner(又稱FileRipple)相關的威脅群集的最新演變,該惡意活動最早於2025年8月被記錄在案。
這兩個攻擊鏈背後的網路犯罪集團被追蹤為 CL-CRI-1089,據信至少從 2023 年起就一直活躍。安全分析師認為 FlutterShell 是該團體能力和基礎設施的重大進步。
目錄
從廣告軟體到完整的後門功能
FlutterShell 使用Google的 Flutter 框架開發,並透過惡意桌面應用程式傳播,這些應用程式起初看起來合法。雖然該惡意軟體包含廣告軟體功能,但其能力遠不止於此。
該惡意軟體可以:
- 在受感染的系統上執行任意 shell 指令。
- 與檔案系統中的檔案進行互動和操作。
- 提取環境變數和系統資訊。
- 進行系統指紋辨識。
- 竊取瀏覽器會話資料。
研究人員觀察到,截至 2026 年 3 月,仍有涉及 FlutterShell 的惡意活動,這表明該活動仍在進行中。
與 TamperedChef 相關的惡意軟體生態系統正在不斷壯大
FlutterShell並非孤立威脅。與CL-CRI-1089相關的攻擊還包括Recipe Lister和Calendaromatic,這兩者都與更廣泛的TamperedChef攻擊活動(也稱為EvilAI)有關。
TamperedChef 攻擊活動利用植入木馬的辦公室軟體來傳播潛在有害程式 (PUP) 和廣告軟體。這些惡意應用程式透過欺騙性的廣告宣傳活動進行推廣,旨在讓用戶誤以為自己下載的是合法的軟體工具。
殼牌公司支持的惡意廣告
該行動的關鍵要素是利用Google和YouTube廣告建立的龐大惡意廣告網路。攻擊者使用多家經谷歌驗證的空殼公司發布和推廣惡意廣告,從而提高其攻擊活動的可信度,並幫助他們逃避廣告平台的審查。
與此次行動相關的公司包括:
AdsParkPro LTD、Advantage Web Marketing LLC 和 SOFT WE ART LIMITED(現以 PACIFIC TRADE SOLUTIONS LTD 的名義運作)。
來自 YouControl 和英國公司註冊處的額外記錄表明,這些實體與烏克蘭個人之間存在聯繫。
這些廣告主要針對位於美國、加拿大、澳洲、法國和德國的 macOS 用戶。雖然相關的 Google Ads 帳戶已無法透過 Google Ads 透明度中心訪問,但歷史記錄仍顯示相關實體之間存在關聯。
透過受信任的應用程式劫持瀏覽器
FlutterShell 執行後會修改 Google Chrome 的設定文件,將所有瀏覽器流量重新導向到攻擊者控制的、充斥廣告的中間網站。這種瀏覽器劫持技術使攻擊者能夠在控制用戶瀏覽活動的同時牟利。
尤其令人擔憂的是,所有分析的樣本都使用有效的蘋果開發者 ID 進行了簽名,並成功通過了蘋果的公證流程。因此,蘋果的自動安全機制在提交時未能將這些應用程式識別為惡意應用程式。
WebView架構支援惡意軟體的動態演化
FlutterShell 最顯著的特點之一是它採用了基於 WebView 的架構,並結合了 JavaScript 到原生系統的通訊橋樑。在這種模式下,應用程式嵌入了一個瀏覽器元件來顯示網頁內容,同時允許 JavaScript 程式碼直接與原生系統函數通訊。
攻擊者並非將惡意邏輯直接嵌入應用程式二進位檔案中,而是將惡意軟體的大部分功能託管在他們控制的遠端網站上。這種方法具有以下幾個優點:
惡意軟體的行為可以即時修改,而無需重新編譯應用程式。
無需分發更新後的惡意軟體二進位檔案即可引入新功能。
由於核心惡意邏輯位於已安裝應用程式之外,因此檢測變得更加困難。
這種架構賦予攻擊者極大的靈活性,並允許其快速適應防禦措施。
多種變異體顯示活躍發育
研究人員已識別出三種已知的 FlutterShell 變種:PodcastsLounge、PDF-Brain 和 PDF-Ninja。對攻擊者基礎設施的分析顯示,其中存在不完整的 JavaScript 函數和未完成的程式碼元件,表明這些變種仍在開發中。
一些變種惡意軟體,特別是 PDF-Brain 和 PDF-Ninja,都整合了人工智慧驅動的文件摘要功能。然而,提交用於摘要的文件在處理前會先經過攻擊者控制的伺服器,這會對受影響的使用者造成嚴重的隱私和安全隱患。
與早期戰役有緊密的技術聯繫
FlutterShell 與先前與 CL-CRI-1089 相關的惡意軟體家族,特別是 Calendaromatic 和 Recipe Lister,有著顯著的相似之處。最明顯的共同點是它們都採用了基於 WebView 的架構,這使得惡意負載能夠在部署後進行動態修改。
調查人員還發現,Advantage Web Marketing LLC 不僅參與了惡意廣告的分發,而且還充當了與相同威脅群集相關的基於 Windows 的廣告軟體樣本的簽章實體。這些發現進一步強化了各個攻擊活動之間的關聯。
持續且不斷升級的威脅情勢
從 JSCoreRunner 到 FlutterShell 的過渡表明 CL-CRI-1089 的技術水平有了顯著提高。高級惡意軟體開發、大規模惡意廣告活動以及利用經過驗證的空殼公司繞過廣告平台控制等手段的結合,凸顯了該組織策略日益增長的有效性。
多個幌子組織的協同使用,以及新型 FlutterShell 變種的迅速湧現,表明「FlutterBridge 行動」仍然是一個活躍且不斷演變的威脅。安全研究人員警告稱,該行動遠未結束,並且很可能會繼續調整其攻擊手法,以攻擊全球 macOS 用戶。
