サイバー犯罪者が、macOS環境に侵入する巧妙な手口を編み出しました。一見無害に見えるアプリケーションの中に、悪意のあるペイロードを偽装する手法です。ポッドキャストプレーヤーやPDFリーダーの洗練された外観の裏には、二重の脅威メカニズムが潜んでいます。この隠れたユーティリティは、強制的な広告を表示しながら、攻撃者に無制限のリモートアクセスを与えます。
Operation FlutterBridgeの起源
Palo Alto Networksは最近、Operation FlutterBridgeと命名された高度に組織化されたキャンペーンを明らかにしました。脅威テレメトリによると、脅威クラスターCL-CRI-1089がこの作戦を指揮しています。以前の調査では、このグループはJSCoreRunnerの系譜と関連付けられていました。
攻撃者は、PodcastsLounge、PDF-Brain、PDF-Ninjaといった不正なソフトウェアを悪意のあるGoogle広告を通じて積極的に宣伝しています。さらに、認証済みの法人プロフィールを悪用して広告審査プロセスを回避しています。これらのアカウントは、AdsParkPro LTDやAdvantage Web Marketing LLCといったペーパーカンパニーの特徴を明確に持っています。
信頼とノータリゼーションの悪用
表面上、これらのアプリケーションは完全に正当なものとして動作し、約束された機能を完璧に実行します。例えば、PodcastsLoungeは完全に機能するポッドキャストユーティリティとして動作します。一方、PDF-BrainとPDF-Ninjaはドキュメントファイルをシームレスに処理します。
この本物らしい外観は、有効なApple Developer ID証明書に大きく依存しています。さらに、このソフトウェアはAppleの自動ノータリゼーション検査を難なく通過しています。フォレンジック評価の時点では、複数の脅威サンプルがVirusTotalでの検出を完全に回避していました。
FlutterShellのアーキテクチャ
FlutterShellと呼ばれるこの脅威の最大の危険性は、その根本的なアーキテクチャにあります。重要な点は、主要な悪意のあるペイロードがアプリケーションバイナリ内に存在しないことです。代わりに、ソフトウェアはWebViewラッパーを使用して外部のコマンドサーバーからペイロードを動的に取得します。
この設計により、脅威アクターは新しいソフトウェアをコンパイルすることなくプログラムの動作を変更できます。組み込まれた機能によって、攻撃者は任意のシェルスクリプトの実行、ファイルの操作、ディレクトリの調査、環境変数の収集を自在に行えます。
ブラウザの傍受とデータ窃取
攻撃者はFlutterShellを主にGoogle Chromeのセッションの乗っ取りと制御に利用しています。マルウェアは密かに検索設定や新しいタブのデフォルト設定を操作し、ローカルのWebトラフィックを攻撃者が管理する広告ネットワーク経由に切り替えます。
さらに、PDF-BrainとPDF-Ninjaアプリケーションはより深刻な情報窃取の経路をもたらします。統合されたAI要約エンジンが処理前にドキュメントの内容全体を外部サーバーへ密かに送信しています。ユーザーが簡潔な要約を受け取る裏で、脅威アクターは機密文書の完全なコピーを密かに入手しているのです。
継続する脅威と今後の展望
Palo Alto Networksは、Operation FlutterBridgeが2025年末から活動を続けていることを確認しています。セキュリティチームは2026年を通じて継続的にライブテレメトリを記録しています。
セキュリティ研究者たちは、次世代FlutterShellの亜種が急速に進化すると予測しています。さらに、同一の回避戦略がmacOSとWindowsの両アーキテクチャを標的にした並行キャンペーンでも現れる可能性が高いと警告しています。
これらのリスクを軽減するには、ソフトウェアを必ず公式リポジトリから入手することが重要です。また、インストール後に要求されるシステム権限を注意深く確認することも欠かせません。デジタル広告の見た目や洗練されたインターフェース、有効な開発者署名を盲目的に信頼するだけでは、安全な環境を保証できない時代になっています。
翻訳元: https://meterpreter.org/operation-flutterbridge-malware/
