⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética lançaram luz sobre uma campanha de malvertising do macOS chamada Operação FlutterBridge, que espalha um novo backdoor chamado FlutterShell.
De acordo com a Unidade 42 da Palo Alto Networks, a campanha é considerada o próximo estágio de um cluster de atividades relatado anteriormente, denominado JSCoreRunner (também conhecido como FileRipple), no final de agosto de 2025. O grupo de crimes cibernéticos por trás das duas cadeias de ataque está sendo rastreado sob o apelido CL-CRI-1089. Os invasores são avaliados como ativos desde pelo menos 2023.
“Construído usando a estrutura Flutter, o FlutterShell infecta alvos com adware por meio de aplicativos de desktop maliciosos”, disse a Unidade 42. “Além de sua funcionalidade de adware, a carga possui recursos de backdoor, incluindo execução de comandos shell e manipulação do sistema de arquivos”.
As operações atribuídas ao CL-CRI-1089 também incluem Recipe Lister e Calendaromatic, ambos sob uma designação mais ampla conhecida como TamperedChef (também conhecido como EvilAI), uma série contínua de campanhas que envolvem o uso de versões trojanizadas de software de produtividade para fornecer programas potencialmente indesejados (PUPs) e adware.
Essas campanhas distribuem anúncios maliciosos do Google e do YouTube usando uma rede de empresas de fachada verificadas pelo Google, com os anúncios agindo como uma isca para induzir os alvos a implantarem malware que se disfarça como aplicativos de desktop legítimos. Algumas das empresas de fachada são AdsParkPro LTD, Advantage Web Marketing LLC e SOFT WE ART LIMITED (agora PACIFIC TRADE SOLUTIONS LTD).
O público-alvo desses anúncios são usuários do macOS nos EUA, Canadá, Austrália, França e Alemanha. Embora nenhuma das contas do Google Ads esteja atualmente acessível através do Google Ads Transparency Center, os registros do YouControl e do registro da Companies House do governo do Reino Unido indicam que todas as empresas têm ligações com indivíduos ucranianos.
A iteração mais recente envolve a implantação do FlutterShell, que suporta execução arbitrária de comandos, interação do sistema de arquivos e exfiltração de variáveis de ambiente. Esses esforços foram detectados recentemente, em março de 2026.
“Após a execução, o malware modifica os arquivos de configuração do Google Chrome para sequestrar o navegador, forçando todo o tráfego através de um site intermediário cheio de anúncios, controlado pelo invasor”, disseram os pesquisadores Ido Asher, Noa Dekel e Tom Fakterman. “Todas as amostras observadas foram assinadas com IDs de desenvolvedor Apple válidos e aprovadas no reconhecimento de firma, o que significa que as verificações de segurança automatizadas da Apple não as sinalizaram como maliciosas no momento do envio.”
O que torna o FlutterShell digno de nota é que ele implementa uma arquitetura baseada em WebView que utiliza uma ponte JavaScript para nativo, permitindo assim que o adversário hospede lógica maliciosa em um site externo, em vez de incorporá-la ao binário. Isto, por sua vez, torna possível alterar dinamicamente o comportamento do malware em tempo real, sem ter que recompilar ou enviar uma versão atualizada para hosts comprometidos.
“Na arquitetura baseada em WebView, um aplicativo nativo usa um componente de navegador da Web incorporado para exibir conteúdo”, explicou a Unidade 42. “A ponte JavaScript para nativo atua como um canal de comunicação entre este conteúdo da web e o aplicativo nativo do host, permitindo-lhes trocar dados e invocar funcionalidades cruzadas.”
Três variantes diferentes do FlutterShell, a saber, PodcastsLounge, PDF-Brain e PDF-Ninja, foram identificadas. Isto, juntamente com a presença de funções inacabadas na lógica JavaScript hospedada na infraestrutura dos atacantes, sugere que o malware provavelmente está em desenvolvimento ativo.
Algumas das variantes, PDF-Brain e PDF-Ninja, apresentam uma capacidade de resumo alimentada por inteligência artificial (IA), retransmitindo documentos através de um servidor controlado pelo invasor antes de processá-los. O FlutterShell também permite a impressão digital do sistema e o roubo de dados de sessão do navegador.
Descobriu-se também que o FlutterShell compartilha semelhanças técnicas com o Calendaromatic e o Recipe Lister, sendo a mais óbvia a arquitetura de código baseada em WebView para facilitar alterações dinâmicas de carga útil. Além do mais, a Advantage Web Marketing LLC foi observada não apenas espalhando anúncios maliciosos, mas também atuando como signatário de variantes de adware do Windows associadas ao cluster.
“A evolução do JSCoreRunner para o FlutterShell representa um aumento significativo na profundidade técnica para os invasores por trás do CL-CRI-1089”, disse a Unidade 42. "Além disso, a escala da rede de distribuição, juntamente com as entidades de fachada verificadas usadas para contornar a verificação da rede de anúncios, destaca o perigo persistente de malvertising. A coordenação de múltiplas entidades de fachada e o rápido desenvolvimento e entrega de novas variantes do FlutterShell indicam que esta campanha está longe de terminar."
De acordo com a Unidade 42 da Palo Alto Networks, a campanha é considerada o próximo estágio de um cluster de atividades relatado anteriormente, denominado JSCoreRunner (também conhecido como FileRipple), no final de agosto de 2025. O grupo de crimes cibernéticos por trás das duas cadeias de ataque está sendo rastreado sob o apelido CL-CRI-1089. Os invasores são avaliados como ativos desde pelo menos 2023.
“Construído usando a estrutura Flutter, o FlutterShell infecta alvos com adware por meio de aplicativos de desktop maliciosos”, disse a Unidade 42. “Além de sua funcionalidade de adware, a carga possui recursos de backdoor, incluindo execução de comandos shell e manipulação do sistema de arquivos”.
As operações atribuídas ao CL-CRI-1089 também incluem Recipe Lister e Calendaromatic, ambos sob uma designação mais ampla conhecida como TamperedChef (também conhecido como EvilAI), uma série contínua de campanhas que envolvem o uso de versões trojanizadas de software de produtividade para fornecer programas potencialmente indesejados (PUPs) e adware.
Essas campanhas distribuem anúncios maliciosos do Google e do YouTube usando uma rede de empresas de fachada verificadas pelo Google, com os anúncios agindo como uma isca para induzir os alvos a implantarem malware que se disfarça como aplicativos de desktop legítimos. Algumas das empresas de fachada são AdsParkPro LTD, Advantage Web Marketing LLC e SOFT WE ART LIMITED (agora PACIFIC TRADE SOLUTIONS LTD).
O público-alvo desses anúncios são usuários do macOS nos EUA, Canadá, Austrália, França e Alemanha. Embora nenhuma das contas do Google Ads esteja atualmente acessível através do Google Ads Transparency Center, os registros do YouControl e do registro da Companies House do governo do Reino Unido indicam que todas as empresas têm ligações com indivíduos ucranianos.
A iteração mais recente envolve a implantação do FlutterShell, que suporta execução arbitrária de comandos, interação do sistema de arquivos e exfiltração de variáveis de ambiente. Esses esforços foram detectados recentemente, em março de 2026.
“Após a execução, o malware modifica os arquivos de configuração do Google Chrome para sequestrar o navegador, forçando todo o tráfego através de um site intermediário cheio de anúncios, controlado pelo invasor”, disseram os pesquisadores Ido Asher, Noa Dekel e Tom Fakterman. “Todas as amostras observadas foram assinadas com IDs de desenvolvedor Apple válidos e aprovadas no reconhecimento de firma, o que significa que as verificações de segurança automatizadas da Apple não as sinalizaram como maliciosas no momento do envio.”
O que torna o FlutterShell digno de nota é que ele implementa uma arquitetura baseada em WebView que utiliza uma ponte JavaScript para nativo, permitindo assim que o adversário hospede lógica maliciosa em um site externo, em vez de incorporá-la ao binário. Isto, por sua vez, torna possível alterar dinamicamente o comportamento do malware em tempo real, sem ter que recompilar ou enviar uma versão atualizada para hosts comprometidos.
“Na arquitetura baseada em WebView, um aplicativo nativo usa um componente de navegador da Web incorporado para exibir conteúdo”, explicou a Unidade 42. “A ponte JavaScript para nativo atua como um canal de comunicação entre este conteúdo da web e o aplicativo nativo do host, permitindo-lhes trocar dados e invocar funcionalidades cruzadas.”
Três variantes diferentes do FlutterShell, a saber, PodcastsLounge, PDF-Brain e PDF-Ninja, foram identificadas. Isto, juntamente com a presença de funções inacabadas na lógica JavaScript hospedada na infraestrutura dos atacantes, sugere que o malware provavelmente está em desenvolvimento ativo.
Algumas das variantes, PDF-Brain e PDF-Ninja, apresentam uma capacidade de resumo alimentada por inteligência artificial (IA), retransmitindo documentos através de um servidor controlado pelo invasor antes de processá-los. O FlutterShell também permite a impressão digital do sistema e o roubo de dados de sessão do navegador.
Descobriu-se também que o FlutterShell compartilha semelhanças técnicas com o Calendaromatic e o Recipe Lister, sendo a mais óbvia a arquitetura de código baseada em WebView para facilitar alterações dinâmicas de carga útil. Além do mais, a Advantage Web Marketing LLC foi observada não apenas espalhando anúncios maliciosos, mas também atuando como signatário de variantes de adware do Windows associadas ao cluster.
“A evolução do JSCoreRunner para o FlutterShell representa um aumento significativo na profundidade técnica para os invasores por trás do CL-CRI-1089”, disse a Unidade 42. "Além disso, a escala da rede de distribuição, juntamente com as entidades de fachada verificadas usadas para contornar a verificação da rede de anúncios, destaca o perigo persistente de malvertising. A coordenação de múltiplas entidades de fachada e o rápido desenvolvimento e entrega de novas variantes do FlutterShell indicam que esta campanha está longe de terminar."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #fluttershell #backdoor #se #espalha #para #macos #por #meio #de #anúncios #maliciosos #do #google #e #do #youtube
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário