Operation FlutterBridge
A Unit 42 egy új, Operation FlutterBridge néven azonosított macOS-kampányt tárt fel, amely malvertising segítségével terjeszti a FlutterShell backdoort. A kutatók szerint a művelet a korábban dokumentált JSCoreRunner kampány továbbfejlesztett változata, és a CL-CRI-1089 jelzésű, pénzügyi motivációjú bűnözői csoporthoz köthető.
A fertőzés hamis, legitimnek látszó asztali alkalmazások telepítésével kezdődik, amelyeket a támadók több száz, Google által hitelesített hirdetésen keresztül népszerűsítettek. A kampány elsősorban az angol nyelvterületet és Nyugat-Európát célozta, a hirdetések mögött pedig fedőcégeket használtak annak érdekében, hogy megkerüljék a hirdetési hálózatok ellenőrzéseit. A Google a bejelentést követően felfüggesztette az érintett hirdetői fiókokat.
A FlutterShell technikai szempontból azért figyelemre méltó, mert a Google Flutter keresztplatformos fejlesztői keretrendszerre épül. A malware egy WebView-alapú architektúrát alkalmaz, amely JavaScript–natív hídon keresztül működik. Ennek köszönhetően a rosszindulatú logika jelentős része nem a bináris állományban található, hanem egy külső webszerverről töltődik be, ami megnehezíti a hagyományos statikus elemzést és az aláírásalapú felismerést.
Bár a kampány elsődleges célja adware telepítése, a FlutterShell valójában teljes értékű bback doorként működik. Képes parancsok futtatására, fájlok létrehozására, módosítására és törlésére, valamint a fájlrendszer böngészésére. Egyes változatai mesterséges intelligenciára épülő dokumentum-összefoglaló funkciót is tartalmaznak, amelyet a támadók adatlopásra használnak, a feldolgozandó dokumentumot először saját szerverükre továbbítják, majd onnan kerül vissza a feldolgozó szolgáltatáshoz. Ez lehetővé teszi érzékeny adatok és vállalati dokumentumok észrevétlen exfiltrációját.
A Unit 42 szerint a FlutterShell fejlesztés alatt áll, új funkciók folyamatosan jelennek meg benne. A kutatók ezt a kampányt a macOS-t célzó bűnözői ökoszisztéma fejlődésének új állomásaként értékelik, a korábbi egyszerű adware-megoldások helyét egyre inkább olyan kártevők veszik át, amelyek tartós hozzáférést biztosítanak a támadóknak és későbbi, összetettebb kiberműveletek kiindulópontjául szolgálhatnak.
