Investigadores de ciberseguridad han descubierto una campaña de publicidad maliciosa de macOS con nombre en código Operación FlutterBridge que difunde una nueva puerta trasera llamada FlutterShell.
Según la Unidad 42 de Palo Alto Networks, se dice que esta campaña es la siguiente etapa de un grupo de actividades reportado anteriormente llamado «JSCoreRunner (también conocido como FileRipple)» a fines de agosto de 2025. El grupo de cibercrimen detrás de las dos cadenas de ataques ha sido rastreado bajo el nombre CL-CRI-1089. Se estima que los atacantes han estado activos desde al menos 2023.
«FlutterShell, creado utilizando el marco Flutter, infecta objetivos con adware a través de aplicaciones de escritorio maliciosas», dijo la Unidad 42. «Además de la funcionalidad de adware, la carga útil tiene funcionalidad de puerta trasera, como la ejecución de comandos de shell y la manipulación del sistema de archivos».
Las operaciones atribuidas a CL-CRI-1089 también incluyen Recipe Lister y Calendaromatic, los cuales se encuentran bajo la designación más amplia conocida como TamperedChef (también conocido como EvilAI). Se trata de una serie continua de campañas que utilizan versiones troyanizadas de software de productividad para generar programas potencialmente no deseados (PUP) y adware.
Estas campañas utilizan una red de empresas fantasma aprobadas por Google para publicar anuncios maliciosos de Google y YouTube que actúan como cebo para engañar a los objetivos para que introduzcan malware disfrazado de aplicaciones de escritorio legítimas. Las empresas fachada incluyen AdsParkPro LTD, Advantage Web Marketing LLC y SOFT WE ART LIMITED (ahora PACIFIC TRADE SOLUTIONS LTD).
Estos anuncios están dirigidos a usuarios de macOS en Estados Unidos, Canadá, Australia, Francia y Alemania. Aunque actualmente no se puede acceder a ninguna de sus cuentas de Google Ads a través del Centro de transparencia de Google Ads, los registros de YouControl y el Registro de Agencias Empresariales del gobierno del Reino Unido muestran que todas estas empresas tienen conexiones con personas en Ucrania.
La última versión requiere implementar FlutterShell, que admite la ejecución de comandos arbitrarios, la interacción con el sistema de archivos y la extracción de variables de entorno. Estos esfuerzos fueron detectados en marzo de 2026.
«Una vez ejecutado, el malware modifica los archivos de configuración de Google Chrome y secuestra el navegador, obligando a todo el tráfico a pasar a través de sitios intermediarios llenos de publicidad controlados por el atacante», dijeron los investigadores Ido Asher, Noah Dekel y Tom Factorman. «Todas las muestras observadas fueron firmadas con una ID de desarrollador de Apple válida y pasaron la certificación notarial, lo que significa que no fueron marcadas como maliciosas por los controles de seguridad automatizados de Apple al momento de su envío».
Lo notable de FlutterShell es que implementa una arquitectura basada en WebView que aprovecha un puente de JavaScript a nativo, lo que permite a los atacantes alojar lógica maliciosa en sitios web externos en lugar de incrustarla en el binario. Esto permite que el malware cambie dinámicamente su comportamiento en tiempo real sin tener que recompilar o enviar versiones actualizadas a los hosts comprometidos.
«En una arquitectura basada en WebView, las aplicaciones nativas utilizan componentes integrados del navegador web para mostrar contenido», explicó la Unidad 42. «El puente de JavaScript a nativo actúa como un canal de comunicación entre este contenido web y la aplicación nativa del host, lo que permite intercambiar datos y llamar a funciones entre sí».
Se han observado tres variantes diferentes de FlutterShell: PodcastsLounge, PDF-Brain y PDF-Ninja. Esto, combinado con la presencia de funciones inacabadas en la lógica de JavaScript alojada en la infraestructura del atacante, sugiere que es probable que el malware se encuentre en desarrollo activo.
Algunas de las variantes, PDF-Brain y PDF-Ninja, tienen capacidades de resumen impulsadas por inteligencia artificial (IA) al transmitir documentos a través de un servidor controlado por un atacante antes de procesarlos. FlutterShell también permite la toma de huellas digitales del sistema y el robo de datos de la sesión del navegador.
También se ha descubierto que FlutterShell comparte similitudes técnicas con Calendaromatic y Recipe Lister. La más obvia es la arquitectura de código basada en WebView que facilita cambios dinámicos en la carga útil. Además, se ha observado que Advantage Web Marketing LLC no solo distribuye anuncios maliciosos, sino que también actúa como firmante de variantes de adware de Windows asociadas con el clúster.
«La evolución de JSCoreRunner a FlutterShell representa un aumento significativo en la profundidad técnica para los atacantes detrás de CL-CRI-1089», dijo la Unidad 42. «Además, la escala de la red de distribución, junto con las entidades fantasma verificadas utilizadas para evadir el escrutinio de la red publicitaria, resalta los peligros persistentes de la publicidad maliciosa. La coordinación de múltiples entidades fantasma y el rápido desarrollo y distribución de nuevas variantes de FlutterShell indican que esta campaña está lejos de terminar».
Source link
