Các nhà nghiên cứu an ninh mạng vừa làm sáng tỏ một chiến dịch quảng cáo độc hại (malvertising) trên macOS có tên mã Operation FlutterBridge, chuyên phát tán một backdoor mới gọi là FlutterShell.
Theo Unit 42 của Palo Alto Networks, chiến dịch này được cho là giai đoạn tiếp theo của một cụm hoạt động đã được báo cáo trước đó là JSCoreRunner (còn gọi là FileRipple) vào cuối tháng 8 năm 2025. Nhóm tội phạm mạng đứng sau hai chuỗi tấn công này đang được theo dõi với định danh CL-CRI-1089. Các kẻ tấn công được đánh giá là đã hoạt động ít nhất từ năm 2023.
"Được xây dựng bằng Flutter framework, FlutterShell lây nhiễm mục tiêu bằng adware thông qua các ứng dụng desktop độc hại," Unit 42 cho biết. "Ngoài chức năng adware, payload này còn sở hữu các khả năng của backdoor, bao gồm thực thi shell command và thao tác trên file system."
Các hoạt động được quy cho CL-CRI-1089 cũng bao gồm Recipe Lister và Calendaromatic, cả hai đều nằm dưới sự định danh rộng hơn là TamperedChef (còn gọi là EvilAI). Đây là một loạt các chiến dịch đang diễn ra liên quan đến việc sử dụng các phiên bản bị sửa đổi của các phần mềm năng suất để phân phối các chương trình không mong muốn (PUPs) và adware.
Mạng lưới phân phối qua quảng cáo Google và YouTube
Các chiến dịch này phân phối quảng cáo Google và YouTube độc hại bằng cách sử dụng một mạng lưới các công ty bình phong đã được Google xác minh. Các quảng cáo này đóng vai trò là mồi nhử để lừa mục tiêu cài đặt malware dưới dạng các ứng dụng desktop hợp lệ. Một số công ty bình phong bao gồm AdsParkPro LTD, Advantage Web Marketing LLC, và SOFT WE ART LIMITED (hiện là PACIFIC TRADE SOLUTIONS LTD).
Đối tượng mục tiêu của những quảng cáo này là người dùng macOS tại Mỹ, Canada, Úc, Pháp và Đức. Mặc dù hiện tại không có tài khoản Google Ads nào có thể truy cập được qua Trung tâm Minh bạch Quảng cáo của Google, nhưng các hồ sơ từ YouControl và Cơ quan Đăng ký Công ty của chính phủ Vương quốc Anh cho thấy các công ty này đều có liên kết với các cá nhân người Ukraine.
Phiên bản mới nhất liên quan đến việc triển khai FlutterShell, hỗ trợ thực thi lệnh tùy ý, tương tác hệ thống tệp và đánh cắp các biến môi trường (environment variables). Những nỗ lực này đã được phát hiện gần đây nhất vào tháng 3 năm 2026.
"Sau khi thực thi, malware sẽ sửa đổi các file cấu hình Google Chrome để chiếm quyền điều khiển trình duyệt, buộc toàn bộ lưu lượng truy cập phải đi qua một trang web trung gian chứa đầy quảng cáo do kẻ tấn công kiểm soát," các nhà nghiên cứu Ido Asher, Noa Dekel và Tom Fakterman cho biết. "Tất cả các mẫu quan sát được đều được ký bằng Apple Developer ID hợp lệ và đã vượt qua quy trình notarization thành công, nghĩa là các bước kiểm tra bảo mật tự động của Apple đã không gắn cờ chúng là độc hại tại thời điểm gửi đi."
Kiến trúc WebView và Khả năng Tùy biến Cao
Điều làm cho FlutterShell trở nên đáng chú ý là nó triển khai kiến trúc dựa trên WebView sử dụng JavaScript-to-native bridge. Điều này cho phép kẻ tấn công lưu trữ logic độc hại trên một trang web bên ngoài thay vì nhúng trực tiếp vào tệp thực thi. Nhờ đó, chúng có thể thay đổi hành vi của malware theo thời gian thực mà không cần phải biên dịch lại hoặc đẩy phiên bản cập nhật lên các máy chủ bị xâm nhập.
"Trong kiến trúc dựa trên WebView, một ứng dụng native sử dụng một thành phần trình duyệt web nhúng để hiển thị nội dung," Unit 42 giải thích. "JavaScript-to-native bridge đóng vai trò là kênh giao tiếp giữa nội dung web này và ứng dụng native chủ, cho phép chúng trao đổi dữ liệu và gọi chéo các chức năng."
Ba biến thể khác nhau của FlutterShell đã được xác định, bao gồm: PodcastsLounge, PDF-Brain và PDF-Ninja. Điều này, kết hợp với sự hiện diện của các hàm chưa hoàn thiện trong logic JavaScript được lưu trữ trên cơ sở hạ tầng của kẻ tấn công, cho thấy mã độc này có khả năng vẫn đang trong quá trình phát triển tích cực.
Một số biến thể như PDF-Brain và PDF-Ninja còn tính năng tóm tắt bằng trí tuệ nhân tạo (AI) bằng cách chuyển tiếp tài liệu qua máy chủ do kẻ tấn công kiểm soát trước khi xử lý. FlutterShell cũng cho phép thu thập thông tin hệ thống (system fingerprinting) và đánh cắp dữ liệu phiên trình duyệt.
Mối đe dọa dai dẳng
FlutterShell cũng được tìm thấy có những điểm tương đồng kỹ thuật với Calendaromatic và Recipe Lister, rõ rệt nhất là kiến trúc mã dựa trên WebView để tạo điều kiện cho các thay đổi payload động. Hơn nữa, Advantage Web Marketing LLC đã được quan sát thấy không chỉ phát tán các quảng cáo độc hại mà còn đóng vai trò là bên ký xác thực cho các biến thể adware trên Windows liên quan đến cụm tấn công này.
"Sự tiến hóa từ JSCoreRunner sang FlutterShell thể hiện sự gia tăng đáng kể về chiều sâu kỹ thuật của những kẻ tấn công đứng sau CL-CRI-1089," Unit 42 nhận định. "Hơn nữa, quy mô của mạng lưới phân phối, kết hợp với các thực thể bình phong được xác thực để vượt qua quy trình kiểm duyệt mạng quảng cáo, làm nổi bật nguy cơ dai dẳng của malvertising. Sự phối hợp của nhiều thực thể và việc phát triển nhanh chóng các biến thể FlutterShell mới cho thấy chiến dịch này còn lâu mới kết thúc."