Pesquisadores de cibersegurança revelaram detalhes de uma campanha de malvertising para macOS, identificada pelo codinome Operation FlutterBridge, que distribui um novo backdoor chamado FlutterShell.
Segundo a Unit 42, da Palo Alto Networks, a operação seria a próxima etapa de um conjunto de atividades relatado anteriormente e batizado de JSCoreRunner, também conhecido como FileRipple, no fim de agosto de 2025.
O grupo de cibercrime por trás dessas duas cadeias de ataque é acompanhado sob o nome CL-CRI-1089.
A avaliação é de que os atacantes estão ativos desde pelo menos 2023.
“Desenvolvido com o framework Flutter, o FlutterShell infecta alvos com adware por meio de aplicativos de desktop maliciosos”, informou a Unit 42.
“Além da função de adware, o payload também possui capacidades de backdoor, incluindo execução de comandos de shell e manipulação do sistema de arquivos.”
As operações atribuídas ao CL-CRI-1089 também incluem Recipe Lister e Calendaromatic, ambas dentro de uma designação mais ampla chamada TamperedChef, ou EvilAI, uma série contínua de campanhas que usa versões adulteradas de softwares de produtividade para entregar programas potencialmente indesejados, os PUPs, e adware.
Essas campanhas distribuem anúncios maliciosos no Google e no YouTube por meio de uma rede de empresas de fachada verificadas pelo Google.
Os anúncios funcionam como isca para induzir as vítimas a instalar malware que se passa por aplicativos de desktop legítimos.
Entre essas empresas estão AdsParkPro LTD, Advantage Web Marketing LLC e SOFT WE ART LIMITED, agora PACIFIC TRADE SOLUTIONS LTD.
O público-alvo desses anúncios é formado por usuários de macOS nos Estados Unidos, Canadá, Austrália, França e Alemanha.
Embora nenhuma das contas do Google Ads esteja atualmente acessível pelo Google Ads Transparency Center, registros do YouControl e do Companies House, órgão do governo do Reino Unido, indicam que todas as empresas têm vínculos com indivíduos ucranianos.
A versão mais recente da campanha envolve a distribuição do FlutterShell, que permite execução arbitrária de comandos, interação com o sistema de arquivos e exfiltração de variáveis de ambiente.
Essas atividades foram detectadas mais recentemente em março de 2026.
“Após a execução, o malware modifica arquivos de configuração do Google Chrome para sequestrar o navegador, forçando todo o tráfego a passar por um site intermediário controlado pelo atacante e recheado de anúncios”, disseram os pesquisadores Ido Asher, Noa Dekel e Tom Fakterman.
“Todas as amostras observadas foram assinadas com Apple Developer IDs válidos e passaram com sucesso pela notarização, o que significa que as verificações automáticas de segurança da Apple não as classificaram como maliciosas no momento do envio.”
O que torna o FlutterShell relevante é sua arquitetura baseada em WebView, que usa uma ponte de JavaScript para nativo.
Isso permite que o adversário hospede a lógica maliciosa em um site externo, em vez de embuti-la no binário.
Na prática, isso possibilita alterar o comportamento do malware em tempo real, sem precisar recompilar ou enviar uma versão atualizada para os hosts comprometidos.
“Em uma arquitetura baseada em WebView, um aplicativo nativo usa um componente de navegador web embutido para exibir conteúdo”, explicou a Unit 42.
“A ponte de JavaScript para nativo funciona como um canal de comunicação entre esse conteúdo web e o aplicativo nativo hospedeiro, permitindo a troca de dados e a invocação cruzada de funções.”
Três variantes diferentes do FlutterShell já foram identificadas: PodcastsLounge, PDF-Brain e PDF-Ninja.
Isso, somado à presença de funções inacabadas na lógica JavaScript hospedada na infraestrutura dos atacantes, sugere que o malware ainda está em desenvolvimento ativo.
Algumas variantes, como PDF-Brain e PDF-Ninja, trazem um recurso de resumo com apoio de inteligência artificial, ao encaminhar documentos para um servidor controlado pelo atacante antes do processamento.
O FlutterShell também permite a identificação da configuração do sistema e o roubo de dados de sessão do navegador.
O FlutterShell também apresentou semelhanças técnicas com Calendaromatic e Recipe Lister, sendo a mais evidente a arquitetura de código baseada em WebView para facilitar mudanças dinâmicas no payload.
Além disso, a Advantage Web Marketing LLC foi observada não apenas distribuindo anúncios maliciosos, mas também atuando como signatária de variantes de adware para Windows associadas ao cluster.
“A evolução de JSCoreRunner para FlutterShell representa um aumento significativo na sofisticação técnica dos atacantes por trás do CL-CRI-1089”, afirmou a Unit 42.
“Além disso, a escala da rede de distribuição, combinada com as entidades de fachada verificadas usadas para contornar a triagem das redes de anúncios, evidencia o risco persistente do malvertising.
A coordenação de múltiplas entidades de fachada e o desenvolvimento rápido, além da entrega de novas variantes do FlutterShell, indicam que esta campanha está longe de terminar.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...