CL-CRI-1089クラスターに属する脅威アクターが、「FlutterShell」と名付けられた新たなバックドアを展開し、macOSを標的とした活動を大幅に拡大させています。
「Operation FlutterBridge」として追跡されているこのキャンペーンは、同グループがこれまで行ってきたアドウェア配布活動からの進化を示しています。
金銭的な動機を持つこの攻撃者グループは、JSCoreRunnerのような一般的なアドウェアの配布から、大規模なGoogle Adsキャンペーンを通じた高機能バックドアの展開へと手口を進化させました。
これらのターゲット型キャンペーンは、英語圏および西ヨーロッパ市場を主な対象としています。
このマルウェアはオープンソースのFlutterフレームワークを用いて構築されており、無害なソフトウェアを装った悪意あるデスクトップアプリケーションを利用しています。
研究者たちは、ポッドキャストプレーヤーやPDFビューアーに偽装した完全に動作するアプリケーションを確認しており、具体的には「PodcastsLounge」「PDF-Brain」「PDF-Ninja」という名称が使用されています。
これらのアプリケーションは有効なApple Developer IDで署名されており、Appleの公証(ノータリゼーション)チェックも通過するため、初期のセキュリティ警告を容易に回避し、一般的なアンチウイルスプラットフォームでも検出されないままとなっています。
FlutterShellは、アプリケーションバイナリ内にハードコードされた悪意のあるロジックを持たないことで、従来の静的解析を回避しています。
開発者はWebViewベースのアーキテクチャを採用しており、JavaScriptとネイティブコードを橋渡しするブリッジを通じて、攻撃者が管理する外部インフラと通信する仕組みになっています。
このダイナミックな設計により、攻撃者はメインとなる悪意あるスクリプトを外部ウェブサイト上にホストし、アプリケーションを再コンパイルすることなくバックドアの動作をリアルタイムで変更することが可能です。
感染したアプリケーションをユーザーが開くと、マルウェアはサンドボックス解析を回避するため、C2(コマンド&コントロール)サーバーが指定した一定時間待機します。
その後、「flutterInvoke」というメッセージチャネルを通じてJavaScriptブリッジを注入し、外部ウェブページからのJSON形式のコマンドをネイティブシステムコールに変換します。これらのコマンドにより、攻撃者は感染したmacOSホストを完全に制御できるようになります。
高度なバックドア機能を備えているにもかかわらず、現在確認されているFlutterShellの亜種は主にブラウザハイジャックを目的としたアドウェアのルーティンを実行しています。実行されると、マルウェアはハードウェア識別子を収集して感染システムのフィンガープリントを行います。
次に、設定の不正変更に対する防御機能として機能するGoogle Chrome Secure Preferencesファイルを特に標的とします。
FlutterShellはこのファイル内の検索プロバイダーデータを改ざんし、ユーザーのすべてのトラフィックを攻撃者が管理する中継ドメインへ自動的にルーティングします。
これらの変更を即座に反映させるため、マルウェアはGoogle Chromeのプロセスを強制終了し、特殊なコマンドライン引数を付けて再起動します。
これらの引数により標準のクラッシュ警告が表示されなくなり、ユーザーはハイジャックされた検索環境にシームレスに接続されると、unit42が報告しています。
CL-CRI-1089の背後にいる攻撃者たちは、Googleの審査を通過したペーパーカンパニーのネットワークを通じて、このマルウェアを大規模に配布しました。
AdsParkPro LTDやAdvantage Web Marketing LLCといった法人は数年前から登録・維持されており、年月を経た実績を持たせることで初期の不正検出フィルターを回避していました。
これらのペーパーカンパニーはデジタル上の痕跡を最小限に抑えながらも、正規の企業として見せかけて数百件のGoogle広告を購入する手段として機能しています。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクを防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなど、管理されたスレットインテリジェンスプラットフォーム内でのみ元の形式に戻してご使用ください。
翻訳元: https://cyberpress.org/fluttershell-spreads-through-malvertising/
