Nuova campagna di malvertising colpisce macOS: Operazione FlutterBridge e il malware FlutterShell
Stiamo monitorando una campagna di malvertising sempre più diffusa che prende di mira macOS. Questa campagna sembra essere la fase successiva di una precedente campagna nota come JSCoreRunner, identificata per la prima volta ad agosto 2025. Negli ultimi mesi, gli attaccanti finanziariamente motivati dietro queste campagne sono passati dalla distribuzione di adware standard alla distribuzione di adware con capacità di backdoor complete. Designiamo questa campagna come Operazione FlutterBridge e chiamiamo il payload che distribuisce FlutterShell.
Costruito utilizzando il framework Flutter, FlutterShell infetta i bersagli con adware tramite applicazioni desktop maliziose. Oltre alla sua funzionalità di adware, il payload possiede capacità di backdoor, tra cui l'esecuzione di comandi shell e la manipolazione del file system. Alcune varianti strumentalizzano le funzionalità di riassunto basate sull'intelligenza artificiale (AI) per l'esfiltrazione dei dati, instradando i documenti attraverso un server controllato dall'attaccante prima di elaborarli. Lo strain di malware FlutterShell sembra essere in sviluppo attivo, con nuovi miglioramenti integrati rapidamente nel codice.
Target globali e distribuzione tramite Google Ads
L'Operazione FlutterBridge prende di mira un pubblico globale attraverso una vasta campagna Google Ads, con un'enfasi sui mercati anglosassoni e occidentali, distribuita tramite centinaia di annunci verificati da Google. La nostra ricerca indica che gli attaccanti dietro questo cluster hanno distribuito gli annunci utilizzando una serie di società di comodo per aggirare la verifica delle reti pubblicitarie e orchestrare questi attacchi su larga scala.
Abbiamo segnalato questi inserzionisti a Google, che ha fornito la seguente dichiarazione: "Il malware non ha posto sulle nostre piattaforme e abbiamo sospeso questi account di inserzionisti per violazione delle nostre politiche."
Capacità e architettura di FlutterShell
FlutterShell è un backdoor per macOS sviluppato utilizzando il framework Flutter e progettato per mascherarsi come software legittimo. Gli autori di FlutterShell hanno implementato un'architettura basata su WebView che utilizza un ponte JavaScript-to-native. Questo design consente agli attaccanti di ospitare la logica maliziosa su un sito esterno piuttosto che codificarla in modo permanente nel binario, permettendo loro di alterare dinamicamente il comportamento di FlutterShell in tempo reale senza dover ricompilare o ridistribuire l'applicazione.
FlutterShell ha un set di comandi integrati che forniscono agli attaccanti le seguenti capacità:
- Esecuzione di comandi arbitrari
- Interazione con il file system
- Esportazione di variabili d'ambiente
Sfide analitiche e sviluppo attivo
Durante la nostra indagine, abbiamo osservato FlutterShell utilizzato come adware. All'avvio, il malware modifica i file di configurazione di Google Chrome per hijackare il browser, forzando tutto il traffico attraverso un sito intermediario controllato dall'attaccante, pieno di pubblicità.
Abbiamo identificato diverse versioni di FlutterShell che non contenevano ancora codice malizioso. Inoltre, un esame della logica JavaScript ospitata sull'infrastruttura degli attaccanti ha rivelato più funzioni incomplete. Questi risultati, combinati con la frequente comparsa di nuove varianti, indicano che il malware è probabilmente in sviluppo attivo.
L'uso del framework Flutter presenta specifiche sfide analitiche. Il motore Flutter compila il codice Dart in una libreria dinamica e utilizza un Object Pool per memorizzare i dati, separando il codice dalle stringhe e dalle variabili che utilizza, rendendo difficile per gli analisti della sicurezza vedere come funziona effettivamente il malware. Questa caratteristica rende anche il tracciamento del flusso di esecuzione di un'applicazione Flutter tramite analisi statica particolarmente difficile.
Applicazioni legittime e firme Apple
Abbiamo riscontrato tre versioni di FlutterShell in cui il malware si faceva passare per un lettore podcast e due diversi visualizzatori PDF. Queste applicazioni desktop erano completamente funzionali, nascondendo efficacemente la logica maliziosa in esecuzione in background. Tutte le campioni osservati erano firmati con validi Apple Developer IDs e avevano superato con successo la notarizzazione, il che significa che i controlli di sicurezza automatizzati di Apple non li avevano segnalati come maliziosi al momento della presentazione.
Al momento dell'analisi, tutte e tre le applicazioni contenenti FlutterShell avevano zero rilevamenti su VirusTotal.
Architettura basata su WebView
La logica di backdoor di FlutterShell non è codificata in modo permanente nel binario. Invece, FlutterShell impiega un'architettura basata su WebView che utilizza un ponte JavaScript-to-native. In un'architettura basata su WebView, un'applicazione nativa utilizza un componente browser web incorporato per visualizzare contenuti. Il ponte JavaScript-to-native agisce come canale di comunicazione tra questo contenuto web e l'applicazione nativa host, permettendo loro di scambiare dati e invocare reciprocamente funzionalità.
Di conseguenza, la logica maliziosa di FlutterShell è memorizzata sul sito degli attaccanti ed è solo attivata quando l'applicazione carica il contenuto web specifico.
All'avvio iniziale, FlutterShell attende una durata specifica ricevuta dinamicamente dal server di comando e controllo (C2) prima di contattare il sito degli attaccanti, che contiene il codice JavaScript malizioso, per evitare l'analisi e costruire la fiducia dell'utente.
Comunicazione tra il sito remoto e il sistema locale
Per facilitare la comunicazione tra la pagina web remota controllata dall'attaccante e il sistema locale infetto, il malware inietta un ponte JavaScript. Questo ponte utilizza un canale di messaggio chiamato flutterInvoke per passare comandi in formato JSON dal contesto WebView all'ambiente Dart nativo.
La pagina web remota agisce come ambiente di esecuzione per il ponte JavaScript-to-native. Caricando il contenuto esterno, gli attaccanti possono inviare comandi in formato JSON.
Protezione e risposta agli incidenti
I clienti di Palo Alto Networks sono meglio protetti dalle minacce descritte in questo articolo attraverso i seguenti prodotti e servizi:
- Advanced WildFire
- Advanced URL Filtering
- Advanced DNS Security
- Cortex Agentix Threat Intel Agent
- Cortex XDR
- XSIAM
Se pensi di essere stato compromesso o hai una questione urgente, contatta il Unit 42 Incident Response team.
Implicazioni per la Sicurezza Informatica
L'emergere di FlutterShell rappresenta un'evoluzione significativa nel panorama delle minacce informatiche, soprattutto per gli utenti macOS. La capacità del malware di sfruttare architetture basate su WebView per eseguire logiche maliziose dinamicamente rende difficile il rilevamento e l'analisi, poiché il codice dannoso non è incorporato nel binario ma viene caricato da un server remoto. Questo approccio è particolarmente insidioso perché permette agli attaccanti di aggiornare le funzionalità del malware senza dover distribuire nuove versioni dell'applicazione, eludendo così i controlli di sicurezza tradizionali.
Analisi del Modus Operandi
La campagna Operation FlutterBridge è parte di un cluster di attività criminali, denominato CL-CRI-1089, che opera almeno dal 2023. Gli attaccanti dietro questo cluster hanno dimostrato una notevole capacità di adattamento, distribuendo malware sia su piattaforme Windows che macOS attraverso campagne di malvertising. La loro strategia prevede l'uso di società di comodo verificate da Google per diffondere annunci maliziosi che ingannano gli utenti inducendoli a installare applicazioni desktop che sembrano legittime. Sebbene il malware sia stato principalmente osservato come adware, le sue capacità di backdoor indicano un potenziale molto più pericoloso.
Evoluzione delle Minacce
La transizione dagli attacchi semplici di adware a malware con capacità di backdoor, come FlutterShell, riflette una tendenza preoccupante verso minacce più sofisticate e versatili. Questo cambiamento strategico permette agli attaccanti di compromettere i sistemi non solo per scopi pubblicitari, ma anche per rubare dati sensibili, eseguire comandi remoti e persino distribuire ulteriori payload dannosi. La capacità di FlutterShell di sfruttare funzionalità di riassunto basate su intelligenza artificiale per l'esfiltrazione di dati rappresenta un ulteriore livello di complessità, indicando che gli attaccanti stanno adottando tecnologie avanzate per raggiungere i loro obiettivi.
Sfide per la Community della Sicurezza
La natura dinamica di FlutterShell e la sua capacità di eludere i controlli di sicurezza automatizzati di Apple pongono sfide significative per la comunità della sicurezza informatica. La mancanza di rilevamenti su piattaforme come VirusTotal al momento dell'analisi suggerisce che gli strumenti di sicurezza tradizionali potrebbero non essere sufficienti per identificare e bloccare questo tipo di minacce. Inoltre, l'uso del framework Flutter, che è ampiamente utilizzato per lo sviluppo di applicazioni multipiattaforma, complica ulteriormente l'analisi, poiché richiede competenze specifiche per comprendere appieno il comportamento del malware.
Strategie di Difesa
Per contrastare efficacemente minacce come FlutterShell, è essenziale adottare un approccio multifasico alla sicurezza. Le organizzazioni dovrebbero implementare soluzioni avanzate di rilevamento e prevenzione delle minacce, come Advanced WildFire, Advanced URL Filtering e Advanced DNS Security di Palo Alto Networks. Inoltre, è fondamentale mantenere aggiornati i sistemi e i software di sicurezza, monitorare attentamente le attività sospette e promuovere la consapevolezza degli utenti sui rischi del malvertising e sulle pratiche di sicurezza informatica.
L'analisi di FlutterShell e della campagna Operation FlutterBridge evidenzia l'importanza di rimanere vigili di fronte all'evoluzione continua delle minacce informatiche. Gli attaccanti stanno diventando sempre più abili nel combinare tecnologie avanzate con tattiche di ingegneria sociale per compromettere i sistemi degli utenti. Per proteggersi da queste minacce emergenti, è cruciale investire in soluzioni di sicurezza robuste, adottare pratiche di difesa proattive e collaborare con esperti del settore per condividere informazioni e sviluppare strategie di contrasto efficaci.
Nota Editoriale e Disclaimer
Le guide e i contenuti pubblicati su GoYou sono frutto di attività di ricerca e analisi indipendente, a scopo informativo, educativo e di approfondimento.
GoYou non costituisce una testata giornalistica né un prodotto editoriale ai sensi della Legge n. 62/2001 e non svolge attività di informazione in tempo reale.
Il progetto GoYou non fornisce consulenza professionale, tecnica, legale o finanziaria e declina ogni responsabilità per l’uso improprio delle informazioni pubblicate.
Nel settore Crypto, ogni investimento comporta rischi: si invita il lettore a informarsi sempre in modo autonomo prima di assumere qualsiasi decisione.