FlutterShell Backdoor се шири на macOS преку злонамерни реклами на Google и YouTube

Истражувачите за сајбер-безбедност открија нова malvertising кампања за macOS, со кодно име Operation FlutterBridge, која шири нов backdoor малициозен софтвер наречен FlutterShell.

Според Unit 42 на Palo Alto Networks, оваа кампања претставува следна фаза од претходно документираната активност позната како JSCoreRunner (исто така наречена FileRipple), откриена кон крајот на август 2025 година. Групата за сајбер-криминал која стои зад двете синџири на напади се следи под ознаката CL-CRI-1089. Се проценува дека напаѓачите се активни најмалку од 2023 година.

„Изграден со користење на Flutter framework, FlutterShell ги инфицира целите со adware преку злонамерни десктоп апликации“, соопшти Unit 42. „Покрај својата adware функционалност, овој малициозен софтвер поседува и backdoor можности, вклучувајќи извршување shell команди и манипулација со датотечниот систем.“

Активностите што му се припишуваат на CL-CRI-1089 ги вклучуваат и кампањите Recipe Lister и Calendaromatic. Двете се дел од пошироката група кампањи позната како TamperedChef (или EvilAI), тековна серија напади во кои се користат тројанизирани верзии на софтвер за продуктивност со цел испорака на потенцијално несакани програми (PUPs) и adware.

Овие кампањи дистрибуираат злонамерни реклами на Google и YouTube преку мрежа од компании кои се верификувани од Google. Рекламите служат како мамка за да ги наведат жртвите да инсталираат малициозен софтвер кој се претставува како легитимна десктоп апликација. Некои од компаниите што се користат како параван се AdsParkPro LTD, Advantage Web Marketing LLC и SOFT WE ART LIMITED (денес позната како PACIFIC TRADE SOLUTIONS LTD).

Целна публика на овие реклами се корисници на macOS во САД, Канада, Австралија, Франција и Германија. Иако ниту една од Google Ads сметките моментално не е достапна преку Google Ads Transparency Center, податоците од YouControl и британскиот регистар Companies House покажуваат дека сите овие компании имаат врски со украински државјани.

Најновата верзија на кампањата вклучува инсталација на FlutterShell, кој поддржува извршување произволни команди, интеракција со датотечниот систем и кражба (ексфилтрација) на environment variables (променливи на оперативната околина). Овие активности биле забележани сè до март 2026 година.

„По извршувањето, малициозниот софтвер ги менува конфигурациските датотеки на Google Chrome со цел да го преземе прелистувачот, принудувајќи го целиот интернет сообраќај да поминува преку посредничка веб-страница контролирана од напаѓачите и преполна со реклами“, изјавија истражувачите Идо Ашер, Ноа Декел и Том Фактерман.

„Сите анализирани примероци беа потпишани со валидни Apple Developer ID сертификати и успешно ја поминаа постапката за notarization, што значи дека автоматизираните безбедносни проверки на Apple не ги означиле како злонамерни во моментот на нивното поднесување.“

Она што го прави FlutterShell особено значаен е неговата WebView-базирана архитектура која користи JavaScript-to-native bridge (мост помеѓу JavaScript и нативниот код). Ова им овозможува на напаѓачите злонамерната логика да ја хостираат на надворешна веб-страница наместо директно да ја вградат во самата бинарна датотека.

Како резултат на тоа, напаѓачите можат динамички да го менуваат однесувањето на малициозниот софтвер во реално време без да мора повторно да го компајлираат или да испраќаат ажурирани верзии до веќе компромитираните системи.

„Во WebView-базираната архитектура, нативната апликација користи вграден веб-прелистувачки компонент за прикажување содржина“, објаснува Unit 42. „JavaScript-to-native bridge функционира како комуникациски канал помеѓу веб-содржината и нативната апликација, овозможувајќи размена на податоци и заемно повикување на функционалности.“

Идентификувани се три различни варијанти на FlutterShell:

• PodcastsLounge
• PDF-Brain
• PDF-Ninja

Ова, заедно со присуството на недовршени функции во JavaScript логиката хостирана на инфраструктурата на напаѓачите, укажува дека малициозниот софтвер сè уште активно се развива.

Некои од варијантите, како PDF-Brain и PDF-Ninja, вклучуваат можност за сумирање документи со помош на вештачка интелигенција (AI). За таа цел, документите прво се испраќаат преку сервер контролиран од напаѓачите пред да бидат обработени. Покрај тоа, малициозниот софтвер овозможува и:

• Создавање детален профил на системот (system fingerprinting)
• Кражба на податоци од активните сесии на веб-прелистувачот

Исто така е утврдено дека FlutterShell споделува технички сличности со Calendaromatic и Recipe Lister. Најочигледна е употребата на WebView-базирана архитектура која овозможува динамичко менување на злонамерниот товар (payload).

Дополнително, компанијата Advantage Web Marketing LLC не била забележана само во ширење на злонамерни реклами, туку и како потписник на Windows adware варијанти поврзани со истата група активности.

„Еволуцијата од JSCoreRunner кон FlutterShell претставува значително зголемување на техничката софистицираност на напаѓачите кои стојат зад CL-CRI-1089“, соопшти Unit 42.

„Покрај тоа, обемот на дистрибутивната мрежа, заедно со користењето на верификувани параван-компании за заобиколување на проверките на рекламните мрежи, ја нагласува постојаната опасност од malvertising кампањите. Координацијата на повеќе параван-компании и брзиот развој и испорака на нови варијанти на FlutterShell укажуваат дека оваа кампања е далеку од завршена.“

Извори:

• The Hacker News – FlutterShell Backdoor Spreads to macOS via Malicious Google and YouTube Ads The Hacker News