Mã độc macOS nguy hiểm: Backdoor FlutterShell tấn công diện rộng
Một chiến dịch phát tán mã độc macOS mới đang lây lan nhanh chóng, đe dọa nghiêm trọng người dùng hệ điều hành của Apple. Kẻ tấn công đang sử dụng Google Ads để đẩy các ứng dụng desktop giả mạo, bí mật cài đặt một backdoor mạnh mẽ trên các máy bị nhiễm.
Chiến dịch này, được đặt tên là Operation FlutterBridge, đánh dấu sự leo thang đáng kể về chiến thuật từ các đối tượng có động cơ tài chính, đã hoạt động ít nhất từ năm 2023.
Hiểu rõ về mã độc FlutterShell
FlutterShell là một backdoor được xây dựng bằng framework Flutter của Google. Nó được thiết kế để trông giống như một ứng dụng hợp pháp, trong khi âm thầm chạy mã độc hại ở chế độ nền.
Điều làm cho backdoor FlutterShell trở nên đặc biệt nguy hiểm là khả năng vượt xa các chức năng gián điệp cơ bản. Nó cung cấp cho kẻ tấn công toàn quyền kiểm soát từ xa đối với hệ thống bị lây nhiễm.
Khả năng chiếm quyền điều khiển hệ thống
Khả năng kiểm soát này bao gồm việc thực thi các lệnh tùy ý trên hệ thống từ xa, đọc và ghi tệp tin, cũng như trích xuất dữ liệu nhạy cảm. Điều này đặt ra một rủi ro bảo mật nghiêm trọng cho người dùng mã độc macOS, vì kẻ tấn công có thể truy cập hầu hết các tài nguyên của hệ thống.
Phương thức phân phối: Malvertising qua Google Ads
Các nhà nghiên cứu từ Unit 42, bộ phận tình báo mối đe dọa của Palo Alto Networks, đã xác định và theo dõi chiến dịch này dưới cụm hoạt động CL-CRI-1089. Theo báo cáo của Unit 42, kẻ tấn công đã phát tán mã độc thông qua malvertising (quảng cáo độc hại) từ ít nhất năm 2023, nhắm mục tiêu cả người dùng Windows và macOS thông qua các hoạt động riêng biệt, đang diễn ra.
Chiến dịch này sử dụng hàng trăm tài khoản Google Ads đã được xác minh, liên kết với các công ty vỏ bọc để phân phối mã độc trên quy mô lớn. Các quảng cáo được tạo ra để trông hợp pháp và tiếp cận một lượng lớn khán giả toàn cầu.
Tính thích ứng cao của kẻ tấn công
Một điểm khác biệt của Operation FlutterBridge so với các hoạt động trước đó là cách kẻ tấn công đã điều chỉnh một cách tích cực. Khi một công ty vỏ bọc, AdsParkPro LTD, bị gỡ khỏi Google Ads vào tháng 1 năm 2026, các đối tượng này đã xuất hiện trở lại chỉ hai tuần sau đó dưới một tài khoản được xác minh mới và phát hành một biến thể mã độc mới.
Sự thích ứng nhanh chóng này cho thấy mức độ tổ chức và quyết tâm của những kẻ đứng sau tấn công mạng này. Điều này cũng nhấn mạnh thách thức liên tục trong việc phát hiện tấn công và ngăn chặn các mối đe dọa tinh vi.
Cấu trúc kỹ thuật và cơ chế lẩn tránh của FlutterShell
FlutterShell sử dụng một kiến trúc thông minh giúp giữ mã độc hại của nó hoàn toàn không nằm trên thiết bị. Thay vì nhúng các hướng dẫn độc hại vào tệp nhị phân của ứng dụng, mã độc này tải một trang web từ xa thông qua một thành phần trình duyệt tích hợp gọi là WebView.
Trang web đó chứa logic tấn công thực tế, được gửi dưới dạng lệnh qua một kênh có tên flutterInvoke. Thiết kế này cho phép kẻ tấn công thay đổi chức năng của mã độc bất cứ lúc nào, mà không cần cập nhật ứng dụng.
Các biến thể và khả năng vượt qua Notarization của Apple
Ba phiên bản riêng biệt của backdoor FlutterShell đã được xác định trong quá trình điều tra. Phiên bản đầu tiên giả mạo một trình phát podcast tên là PodcastsLounge, trong khi hai phiên bản sau xuất hiện dưới dạng trình xem PDF có tên PDF-Brain và PDF-Ninja.
Cả ba đều là các ứng dụng đầy đủ chức năng, khiến người dùng cực kỳ khó nhận thấy bất kỳ điều gì đáng ngờ. Tại thời điểm phân tích, cả ba đều có không phát hiện trên VirusTotal và đã vượt qua quy trình notarization của Apple với các ID nhà phát triển hợp lệ.
Điều này cho thấy mã độc macOS này đã được thiết kế tinh vi để lẩn tránh các cơ chế bảo mật ban đầu. Sự kiện này là một cảnh báo nghiêm trọng về các rủi ro liên quan đến việc tin tưởng tuyệt đối vào các dấu hiệu xác thực bề ngoài.
Tác động lên trình duyệt Google Chrome
Sau khi được cài đặt, mã độc sẽ lấy dấu vân tay của máy và sau đó nhắm mục tiêu vào Google Chrome. Nó sửa đổi tệp cài đặt của Chrome để chuyển hướng mọi tab mới và truy vấn tìm kiếm đến một trang web do kẻ tấn công kiểm soát, chứa đầy quảng cáo.
Quá trình này hoàn toàn im lặng và người dùng không thấy bất kỳ cảnh báo nào. Các phiên bản PDF-Brain và PDF-Ninja còn khai thác tính năng tóm tắt AI, bí mật chuyển nội dung tài liệu qua máy chủ của kẻ tấn công trước khi gửi kết quả cho người dùng. Điều này có thể dẫn đến rò rỉ dữ liệu nhạy cảm.
Liên kết với mã độc JSCoreRunner
Các công ty vỏ bọc hỗ trợ chiến dịch quảng cáo này cho thấy rõ ràng dấu hiệu của hạ tầng gian lận. Tất cả đều có sự hiện diện trực tuyến tối thiểu, các trang web được tạo theo mẫu và được dẫn dắt bởi những cá nhân không có lịch sử chuyên môn xác minh được.
Các nhà điều tra phát hiện các công ty được đăng ký khoảng một năm trước khi chi tiêu quảng cáo lần đầu, một chiến thuật để làm “già” các tài khoản và vượt qua các bộ lọc phát hiện gian lận ban đầu.
Mối liên hệ với các chiến dịch trước đó rất sâu sắc. FlutterShell chia sẻ cấu trúc lệnh cốt lõi của nó với một mã độc macOS đã được ghi nhận trước đây có tên JSCoreRunner, bao gồm các chức năng để thực thi lệnh, đọc tệp và liệt kê thư mục.
Sự khác biệt chính là JSCoreRunner nhúng logic của nó một cách tĩnh trong tệp nhị phân, trong khi FlutterShell truy xuất nó một cách động. Điều này làm cho việc phát hiện xâm nhập trở nên khó khăn hơn rất nhiều, tăng cường khả năng lẩn tránh của mã độc.
Chỉ số xâm nhập (IOCs) và Khuyến nghị Phòng ngừa
Để bảo vệ hệ thống khỏi các mối đe dọa như backdoor FlutterShell và các tấn công mạng tương tự, các đội ngũ an ninh mạng cần chủ động áp dụng các biện pháp phòng ngừa và giám sát. Việc này đặc biệt quan trọng khi đối mặt với mã độc macOS ngày càng tinh vi.
Chỉ số xâm nhập (IoCs)
- Tên mã độc: FlutterShell, JSCoreRunner
- Tên chiến dịch: Operation FlutterBridge, CL-CRI-1089
- Tên ứng dụng giả mạo: PodcastsLounge, PDF-Brain, PDF-Ninja
- Kênh giao tiếp nội bộ: flutterInvoke
- Lệnh fingerprinting: IOPlatformUUID
Lưu ý: Các địa chỉ IP và tên miền Command and Control (C2) không được liệt kê ở đây để tránh kích hoạt vô tình. Chúng cần được xử lý trong các nền tảng tình báo mối đe dọa có kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Khuyến nghị cho đội ngũ an ninh mạng
Các đội ngũ bảo mật nên chặn các miền C2 đã biết và giám sát các thay đổi đáng ngờ đối với tệp cài đặt Secure Preferences của Chrome. Việc giám sát lệnh fingerprinting IOPlatformUUID và các lần khởi động lại tiến trình Chrome không mong muốn với các đối số khởi chạy tùy chỉnh có thể giúp phát hiện xâm nhập hệ thống bị nhiễm trước khi gây ra thiệt hại thêm. Để biết thêm chi tiết kỹ thuật về chiến dịch này, bạn có thể tham khảo báo cáo của Unit 42: Unit 42 – FlutterBridge: New FlutterShell Backdoor on macOS Systems.
Người dùng cuối cũng cần nâng cao nhận thức về an ninh mạng, đặc biệt cẩn trọng với các quảng cáo trực tuyến và nguồn tải ứng dụng. Luôn xác minh tính hợp pháp của ứng dụng trước khi cài đặt và hạn chế tải về từ các nguồn không chính thống. Đây là một bước quan trọng để giảm thiểu rủi ro bảo mật từ các mã độc macOS.
