ハッカーが大規模なマルバタイジング(悪意ある広告)キャンペーンを活用し、「FlutterShell」と名付けられた新たなmacOS向けバックドアを配布していることが明らかになりました。金銭目的のアドウェア攻撃が大きく進化した事例として注目されています。
この活動を追跡しているセキュリティ研究者は、「CL-CRI-1089」として知られる広範なクラスターに帰属するものと判断しており、今回の継続的なキャンペーンを「Operation FlutterBridge」と命名しています。
本キャンペーンは、2025年8月に初めて観測されたJSCoreRunnerマルウェアに関連する以前の活動を踏襲しています。従来の攻撃はアドウェアの配布が中心でしたが、最新の波では本格的なバックドア機能が導入され、脅威レベルが大幅に引き上げられています。
FlutterShellは現在も活発に開発が続けられており、新たな亜種や機能が次々と登場しています。
Palo Altoがレポートを公開し、GBhackersと情報を共有しました。それによれば、Operation FlutterBridgeはGoogleの広告インフラを積極的に悪用し、特に英語圏および西ヨーロッパを中心に世界中の被害者に接触しています。
攻撃者は、ペーパーカンパニーに紐付いたGoogle認証済みの広告主アカウントを複数利用し、数百本にのぼる悪意ある広告を大規模に配信しました。これらの広告はユーザーを巧妙に偽装されたダウンロードページへ誘導し、ポッドキャストプレーヤーやPDFビューアなどの正規ツールを装ったトロイの木馬化されたmacOSアプリケーションを配布しています。
FlutterShellはFlutterフレームワークを使用して構築されており、JavaScriptとネイティブコードをつなぐブリッジを持つWebViewベースのアーキテクチャを採用しています。
この設計により、マルウェアは悪意ある処理ロジックをバイナリに直接埋め込まず、攻撃者が管理するサーバーから動的に読み込むことができます。
その結果、攻撃者はアプリケーションを再配布することなくリアルタイムで動作を変更でき、検出や解析をより困難にしています。
FlutterShellは実行されると、任意のシェルコマンド実行、ファイルシステムへのアクセス、環境変数の窃取など、幅広いバックドア機能をサポートします。
確認された感染事例では、このマルウェアは主にブラウザの動作を乗っ取るアドウェアとして機能しています。Google ChromeのSecure Preferencesファイルを改ざんし、検索結果や新しいタブを攻撃者が管理するドメインにリダイレクトすることで、広告詐欺やトラフィックの収益化を図っています。
macOSユーザーを狙う悪意ある広告
新しい亜種で特筆すべき機能が、AIの要約ツールを悪用する点です。ドキュメントをローカルや正規のAPIで処理する代わりに、FlutterShellはユーザーデータをAIサービスへ送る前に攻撃者のインフラ経由でルーティングします。
これにより、ユーザーには期待通りの機能が提供されているように見えながら、裏ではひそかにデータが窃取されるため、発見されにくい状態が続きます。
研究者は、PodcastsLounge、PDF-Brain、PDF-Ninjaに偽装したものを含む複数のFlutterShell亜種を確認しています。
これらのサンプルは有効なApple Developer IDで署名されており、配布時点ではAppleのノータリゼーション(公証)チェックも通過していました。
悪意ある挙動にもかかわらず、一部のサンプルはセキュリティスキャンプラットフォームで当初ゼロ検出という結果を示しており、このキャンペーンの高い巧妙さが浮き彫りになっています。
技術的な分析によると、FlutterShellはコマンド&コントロール(C2)サーバーからの指示を待ってから悪意あるWebコンテンツを読み込むという、実行を遅延させる手法を用いています。
この遅延によってサンドボックス検出を回避しつつ、ユーザーの信頼を獲得する効果もあります。マルウェアは「/getConfig」や「/getUpdateThanksConfig」といったエンドポイント経由でコマンドを取得し、JSON形式で実行ロジックを定義することで継続的な更新を可能にしています。
キャンペーンのインフラは高度な作戦計画が施されています。AdsParkPro LTDやAdvantage Web Marketing LLCといったペーパーカンパニーを利用して広告主アカウントを登録・育成し、不正検知システムの回避を図っています。
これらの組織はデジタル上のプレゼンスが極めて乏しく、テンプレートを使い回したウェブサイトを持つなど、フロント企業に典型的な特徴を示しています。
高度な手口を駆使している一方で、翻訳の質が低い広告コンテンツや、キャンペーン間でのアセットの使い回しなど、オペレーションセキュリティ上の失態も散見されます。
しかし、そうした欠点があっても感染拡大には大きな支障をきたしておらず、キャンペーンは現在も進化・拡大を続けています。
FlutterShellとJSCoreRunner、さらにRecipeListerやCalendaromaticといったWindowsベースのマルウェアファミリーとの関連性は、より広範なクロスプラットフォーム戦略の存在を裏付けています。
Advantage Web Marketing LLCは悪意ある広告を拡散するだけでなく、CL-CRI-1089クラスターに関連するWindowsアドウェア亜種の署名者としても関与していることが確認されています。
すべての亜種がWebView駆動の類似したアーキテクチャとブラウザハイジャックの手法を共有しており、統一された開発アプローチが取られていることがうかがえます。
FlutterShellの登場は、モジュール型マルウェア設計における新たなトレンドを示しています。コアロジックをバイナリから切り離し、動的に配信するこのアプローチは、攻撃者の柔軟性を高める一方で、macOS環境における脅威の検出と分析に新たな課題を突きつけています。
翻訳元: https://gbhackers.com/malicious-ads-target-macos-users/
