FlutterShell - novi backdoor za macOS koji se širi preko lažnih oglasa na Guglu i Jutjubu
FlutterShell - novi macOS backdoor se širi preko lažnih oglasa na Google i YouTube platformama, sa mogućnostima izvršavanja komandi i krađe podataka.
Šta se desilo?
Bezbednosni istraživači iz Palo Alto Networks otkrili su novu kampanju poznatu kao Operation FlutterBridge, koja distribuira opasnu zlonamenu aplikaciju FlutterShell na macOS računarima. Kampanja koristi lazne oglase na Google i YouTube platformama da bi prevarila korisnike da instaliraju štetan softver koji se predstavlja kao legitimna desktop aplikacija.
Koga pogađa?
Napad je orijentisan primarno prema korisnicima macOS operativnog sistema u Sjedinjenim Američkim Državama, Kanadi, Australiji, Francuskoj i Nemačkoj. Potencijalno su ugroženi svi korisnici koji kliknu na sumnjive oglase koji se pojavljuju na Google i YouTube platformama.
Kako se zaštititi?
- Budite oprezni pri klikanju na oglase na Google i YouTube - proverite URL pre nego što kliknete
- Preuzimajte aplikacije samo iz zvaničnog App Store-a ili sa zvaničnih veb-stranica proizvođača
- Proverite издаваoca aplikacije i čitajte komentare korisnika pre instalacije
- Redovno ažurirajte macOS i sve instalovane aplikacije
- Koristite antivirusni softver sa mogućnošću detekcije zlonamernog softvera
- Omogućite zaštitu od malvera u Sistemskim postavkama macOS-a
- Pazite na aplikacije koje traže nesumnjive dozvole ili pristupe datotekama
Tehnički detalji
FlutterShell je izgrađen korišćenjem Flutter okviranja i poseduje napredniju arhitekturu od prethodnih inačica. Koristi WebView-baziranu arhitekturu sa JavaScript-to-native mostom što omogućava napadačima dinamičko ažuriranje štetan koda bez nove instalacije. Identifikovane su tri varijante: PodcastsLounge, PDF-Brain i PDF-Ninja. Sve analizirane inačice bile su potpisane validnim Apple Developer ID sertifikatima i prošle Apple notarizacijski proces, što ukazuje na sofisticiranost kampanje. Kampanja je povezana sa grupom CL-CRI-1089 koja je aktivna od najmanje 2023. godine. Zlonameran softver omogućava izvršavanje shell komandi, manipulaciju fajl sistemom, krađnju environment promenljivih, profilisanje sistema i krađnju podataka iz web-pregledača. Takođe menja konfiguraciju Google Chrome-a da preusmeri internet saobraćaj preko proxy servera punog oglasa.
Preporuka Sajber Radara
Iako Apple sistema sigurnosne kontrole još uvek nisu prepoznale ove pretnje, prenosivi kompajlinг i dinamička arhitektura čine FlutterShell posebno opasnim. Preporučujemo svim korisnicima macOS sistema da budu izuzetno oprezni pri instalaciji novih aplikacija i da verifikuju legitimnost pre preuzmanja, čak i ako dolaze sa poznatih platformi.
