An ninh mạng

Cảnh báo mã độc FlutterShell: Backdoor nguy hiểm nhắm vào người dùng macOS qua quảng cáo độc hại

Các nhà nghiên cứu từ Palo Alto Networks Unit 42 vừa phát hiện chiến dịch malvertising mới mang tên Operation FlutterBridge, phát tán backdoor FlutterShell thông qua các quảng cáo Google và YouTube...

Nguyen Hung
5 Tháng 6, 2026 2 Min Read
4 0

Một chiến dịch malvertising (quảng cáo độc hại) mới với tên gọi Operation FlutterBridge đang nhắm mục tiêu vào người dùng macOS tại nhiều quốc gia như Mỹ, Canada, Úc, Pháp và Đức. Chiến dịch này phát tán một loại backdoor mới có tên là FlutterShell.

Theo báo cáo từ Palo Alto Networks Unit 42, nhóm tin tặc đứng sau chiến dịch này được định danh là CL-CRI-1089, một tổ chức đã hoạt động từ ít nhất năm 2023. FlutterShell là bước tiến mới trong chuỗi các hoạt động tấn công liên quan đến JSCoreRunner (còn gọi là FileRipple) từng được ghi nhận vào năm 2025.

Cơ chế hoạt động của FlutterShell

FlutterShell được xây dựng dựa trên framework Flutter. Điểm đáng chú ý nhất của mã độc này là kiến trúc dựa trên WebView, sử dụng cầu nối JavaScript-to-native. Điều này cho phép kẻ tấn công lưu trữ logic độc hại trên một máy chủ bên ngoài thay vì nhúng trực tiếp vào tệp nhị phân. Nhờ đó, chúng có thể thay đổi hành vi của mã độc theo thời gian thực mà không cần biên dịch lại.

Khi được thực thi, FlutterShell thực hiện các hành vi nguy hiểm như:

  • Thực thi lệnh shell và thao tác trên hệ thống tệp.
  • Đánh cắp dữ liệu phiên làm việc của trình duyệt.
  • Sửa đổi cấu hình Google Chrome để chuyển hướng lưu lượng truy cập qua các trang web quảng cáo do tin tặc kiểm soát.
  • Thu thập thông tin hệ thống (fingerprinting).
  • Một số biến thể như PDF-Brain và PDF-Ninja còn tích hợp khả năng tóm tắt tài liệu bằng AI thông qua máy chủ của kẻ tấn công.

Vượt qua kiểm duyệt của Apple

Các mẫu mã độc được phát hiện đều được ký bằng Apple Developer ID hợp lệ và đã vượt qua quy trình kiểm duyệt (notarization) của Apple. Điều này cho thấy hệ thống kiểm tra tự động của Apple đã không phát hiện ra tính chất độc hại của chúng tại thời điểm gửi lên.

Các biến thể đã được xác định bao gồm PodcastsLounge, PDF-BrainPDF-Ninja. Các nhà nghiên cứu cho rằng mã độc này vẫn đang trong quá trình phát triển tích cực do sự hiện diện của các hàm chưa hoàn thiện trong mã JavaScript trên hạ tầng của kẻ tấn công.

Sự chuyển dịch từ các chiến dịch cũ như JSCoreRunner sang FlutterShell cho thấy sự gia tăng đáng kể về độ phức tạp kỹ thuật của nhóm CL-CRI-1089. Người dùng macOS được khuyến cáo nên thận trọng khi nhấp vào các quảng cáo trên Google hoặc YouTube, đồng thời chỉ nên cài đặt phần mềm từ các nguồn chính thống và đáng tin cậy.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept