СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 июня
#ИБ

FlutterBridge: malvertising атакует macOS через FlutterShell

Исследователи в области кибербезопасности сообщили о новой волне malvertising-активности, направленной на системы macOS. Кампания под названием FlutterBridge выросла из более ранней операции JSCoreRunner и использует вредоносное ПО FlutterShell, которое сочетает функции рекламного ПО и бэкдора.

По данным отчета, FlutterShell позволяет злоумышленникам выполнять команды оболочки, работать с файлами в файловой системе и маршрутизировать данные через подконтрольный сервер для эксфильтрации. При этом архитектура вредоносного ПО основана на фреймворке Flutter, что дает атакующим возможность выносить вредоносную логику во внешние ресурсы и менять ее поведение в реальном времени без перевыпуска приложения.

Как работает схема заражения

Кампания использует сложный механизм доставки, в котором задействован Google Ads. Основной упор делается на англоязычную и западноевропейскую аудиторию. Для обхода проверок злоумышленники используют сеть проверенных фирм-однодневок, создавая видимость легитимной рекламной инфраструктуры.

Исследователи отмечают, что были подготовлены многочисленные рекламные объявления, рассчитанные на то, чтобы убедить пользователей установить якобы обычные настольные приложения. На деле речь идет о вредоносных сборках, способных не только показывать рекламу, но и выполнять функции удаленного доступа.

  • использование Google Ads для первичного привлечения жертв;
  • маскировка под легитимные desktop-приложения;
  • применение фирм с минимальным онлайн-присутствием;
  • многоуровневая инфраструктура для распределения рекламного трафика.

Техника JavaScript-to-native и контроль через WebView

Одна из ключевых особенностей FlutterShell — подход JavaScript-to-native bridge, который позволяет удаленным злоумышленникам внедрять и манипулировать вредоносными командами через встроенный компонент WebView. Это делает кампанию особенно опасной: внешний веб-контент может управлять поведением нативного приложения.

После запуска FlutterShell изменяет настройки браузера, в частности конфигурации Google Chrome, чтобы перехватывать пользовательский трафик и перенаправлять его на сайт с рекламой, контролируемый атакующими. Для этого в том числе вносятся изменения в критические JSON-настройки файла Secure Preferences.

Хотя последние варианты FlutterShell чаще проявляют себя как рекламное ПО, их потенциальные возможности выходят далеко за рамки adware и фактически приближают их к полноценному бэкдору.

Поддельные приложения и обход обнаружения

В рамках кампании зафиксировано несколько вариантов FlutterShell, включая симулированные приложения PodcastsLounge и PDF-Brain. Они успешно обходят обнаружение благодаря действительным подписям Apple Developer ID и нотаризации от Apple.

Такие приложения выглядят рабочими и функциональными, при этом вредоносный код скрыт и выполняется в фоновом режиме. Это повышает доверие со стороны пользователей и затрудняет анализ со стороны средств защиты.

  • действительные подписи Apple Developer ID;
  • нотарификация Apple;
  • полнофункциональный пользовательский интерфейс;
  • скрытая фоновая активность вредоносного компонента.

Динамическая логика и обфускация

Отдельного внимания заслуживает механизм динамической загрузки: вредоносная логика размещается на внешней веб-странице, что позволяет злоумышленникам гибко менять тактику без выпуска обновлений программного обеспечения. Такой подход существенно усложняет реагирование и анализ инцидента.

Кроме того, более поздние версии FlutterShell используют различные методы obfuscation, затрудняющие reverse engineering. Это свидетельствует о том, что разработчики кампании активно адаптируют инструментарий к методам обнаружения и противодействия.

AI-функции как инструмент двойного назначения

В некоторых вариантах замечена интеграция функции summarization на основе ИИ. По оценке исследователей, она может использоваться как инструмент двойного назначения: с одной стороны, для обработки данных, а с другой — для их эксфильтрации. Это подчеркивает нетривиальный характер всей инфраструктуры и высокий уровень инженерной сложности кампании.

Кластер CL-CRI-1089 и выводы для защиты

Анализ показал, что атакующие постоянно переназначают и перестраивают свои операции, сохраняя высокий уровень скрытности и применяя тактики уклонения. Такая адаптивность указывает на устойчивую и эволюционирующую угрозу, которую исследователи связывают с кластером CL-CRI-1089.

Для специалистов по безопасности этот случай важен не только как пример очередной кампании против macOS, но и как демонстрация того, насколько эффективно современные злоумышленники совмещают рекламу, социальную инженерию, нативные компоненты и динамическую инфраструктуру доставки.

FlutterBridge показывает, что рекламная маскировка сегодня может скрывать полноценный бэкдор, а использование легитимных механизмов Apple и Google — заметно усложнять обнаружение и реагирование.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: