كشف باحثو الأمن السيبراني في Palo Alto Networks Unit 42 عن حملة خبيثة جديدة تستهدف مستخدمي macOS، أُطلق عليها اسم Operation FlutterBridge، حيث يتم توزيع باب خلفي جديد يعرف بـ FlutterShell عبر إعلانات مزيفة على جوجل ويوتيوب. هذه الحملة تمثل المرحلة التالية من نشاط سابق عُرف باسم JSCoreRunner أو FileRipple، والذي ظهر في أغسطس 2025. المجموعة الإجرامية المسؤولة عن هذه السلاسل تُعرف بالرمز CL-CRI-1089، ويُعتقد أنها نشطة منذ عام 2023.
طبيعة البرمجية الخبيثة FlutterShell
تم تطوير FlutterShell باستخدام إطار عمل Flutter، ويعمل على إصابة الأجهزة عبر تطبيقات سطح مكتب مزيفة تحمل وظائف إعلانية خبيثة. لكن الأخطر أنه يمتلك قدرات باب خلفي، تشمل:
- تنفيذ أوامر عبر Shell.
- التلاعب بنظام الملفات.
- استخراج متغيرات البيئة وإرسالها إلى خوادم المهاجمين.
ما يميز FlutterShell هو اعتماده على بنية WebView مع جسر بين JavaScript والتطبيق الأصلي، ما يسمح باستضافة المنطق الخبيث على مواقع خارجية وتغيير سلوك البرمجية ديناميكيًا دون الحاجة لإعادة تجميعها أو إصدار تحديثات جديدة.
أساليب التوزيع والانتشار
تستخدم الحملة إعلانات خبيثة عبر شبكة شركات واجهة مسجلة رسميًا وموثقة لدى جوجل، مثل:
- AdsParkPro LTD
- Advantage Web Marketing LLC
- SOFT WE ART LIMITED (المعروفة الآن باسم PACIFIC TRADE SOLUTIONS LTD)
تستهدف هذه الإعلانات مستخدمي macOS في الولايات المتحدة، كندا، أستراليا، فرنسا وألمانيا. المثير أن جميع العينات التي رُصدت كانت موقعة باستخدام معرفات مطورين صالحة من آبل، ونجحت في اجتياز عملية التحقق الآلي (notarization) دون أن تُكتشف كخبيثة.
المتغيرات المكتشفة والوظائف الإضافية
تم تحديد ثلاثة متغيرات من FlutterShell:
- PodcastsLounge
- PDF-Brain
- PDF-Ninja
بعض هذه المتغيرات، مثل PDF-Brain وPDF-Ninja، تضمنت ميزة تلخيص تعتمد على الذكاء الاصطناعي، حيث يتم تمرير المستندات عبر خادم المهاجم قبل معالجتها. كما توفر البرمجية قدرات إضافية مثل:
- البصمة النظامية (System Fingerprinting).
- سرقة بيانات جلسات المتصفح.
دلالات أمنية وخطورة الحملة
تشير التحليلات إلى أن FlutterShell يشترك في خصائص تقنية مع حملات سابقة مثل Calendaromatic وRecipe Lister، خاصة في استخدام بنية WebView لتسهيل تغيير الحمولة الخبيثة بشكل ديناميكي. كما أن شركة Advantage Web Marketing LLC لم تقتصر على نشر الإعلانات الخبيثة، بل وقّعت أيضًا على نسخ خبيثة من برمجيات إعلانية لنظام ويندوز.
يرى الباحثون أن الانتقال من JSCoreRunner إلى FlutterShell يمثل قفزة تقنية كبيرة للمجموعة CL-CRI-1089، ويعكس مستوى عالٍ من التنسيق والقدرة على تجاوز أنظمة التحقق. الأهم أن استخدام كيانات واجهة متعددة للتحايل على أنظمة التحقق في شبكات الإعلانات يبرز خطورة المالفرتايزنج (Malvertising) كتهديد مستمر.
