Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware para Mac Puerta trasera para macOS con FlutterShell

Puerta trasera para macOS con FlutterShell

Por Mezo en Malware para Mac, Puertas traseras
Traducir a:

Investigadores de ciberseguridad han descubierto una operación de publicidad maliciosa a gran escala para macOS, conocida como Operación FlutterBridge, responsable de la distribución de una puerta trasera recientemente identificada llamada FlutterShell. Esta campaña representa la última evolución de un grupo de amenazas previamente asociado con JSCoreRunner (también conocido como FileRipple), una actividad maliciosa documentada por primera vez en agosto de 2025.

El grupo ciberdelincuente responsable de ambas cadenas de ataques se identifica como CL-CRI-1089 y se cree que ha estado activo al menos desde 2023. Los analistas de seguridad consideran que FlutterShell representa un avance significativo en las capacidades e infraestructura del grupo.

Desde software publicitario hasta funcionalidad completa de puerta trasera.

Desarrollado con el framework Flutter de Google, FlutterShell se distribuye a través de aplicaciones de escritorio maliciosas que inicialmente parecen legítimas. Si bien el malware incluye funciones de adware, sus capacidades van mucho más allá de la publicidad no deseada.

El malware puede:

  • Ejecutar comandos de shell arbitrarios en sistemas infectados.
  • Interactuar con los archivos dentro del sistema de archivos y manipularlos.
  • Exfiltrar variables de entorno e información del sistema.
  • Realizar la identificación del sistema.
  • Robar datos de la sesión del navegador.

Los investigadores observaron actividad maliciosa relacionada con FlutterShell incluso en marzo de 2026, lo que indica que la campaña sigue activa.

Un creciente ecosistema de malware vinculado a TamperedChef

FlutterShell no es una amenaza aislada. Las operaciones atribuidas a CL-CRI-1089 también incluyen Recipe Lister y Calendaromatic, ambas asociadas con la campaña más amplia TamperedChef, también conocida como EvilAI.

Las campañas de TamperedChef se basan en aplicaciones de productividad infectadas con troyanos para distribuir programas potencialmente no deseados (PUP) y adware. Estas aplicaciones maliciosas se promocionan mediante campañas publicitarias engañosas diseñadas para convencer a los usuarios de que están descargando herramientas de software legítimas.

Publicidad maliciosa impulsada por empresas fantasma

Un elemento clave de la operación es una extensa red de publicidad maliciosa que aprovecha los anuncios de Google y YouTube. Los atacantes utilizan varias empresas fantasma verificadas por Google para publicar y promocionar anuncios maliciosos, lo que aumenta la credibilidad de sus campañas y les ayuda a eludir el escrutinio de las plataformas publicitarias.

Entre las empresas vinculadas a la operación se encuentran:

AdsParkPro LTD, Advantage Web Marketing LLC y SOFT WE ART LIMITED (que ahora opera como PACIFIC TRADE SOLUTIONS LTD).
Registros adicionales de YouControl y del registro mercantil británico Companies House indican conexiones entre estas entidades y personas físicas ucranianas.

Los anuncios se dirigen principalmente a usuarios de macOS en Estados Unidos, Canadá, Australia, Francia y Alemania. Si bien las cuentas de Google Ads asociadas ya no son accesibles a través del Centro de Transparencia de Google Ads, los registros históricos siguen revelando conexiones entre las entidades involucradas.

Secuestro de navegador a través de aplicaciones de confianza

Una vez ejecutado, FlutterShell modifica los archivos de configuración de Google Chrome para redirigir todo el tráfico del navegador a través de sitios web intermediarios controlados por el atacante, repletos de anuncios. Esta técnica de secuestro de navegador permite a los ciberdelincuentes generar ingresos manteniendo el control sobre la actividad de navegación del usuario.

Resulta especialmente preocupante que todas las muestras analizadas estuvieran firmadas con identificadores de desarrollador de Apple válidos y superaran con éxito el proceso de certificación de Apple. En consecuencia, los mecanismos de seguridad automatizados de Apple no identificaron las aplicaciones como maliciosas en el momento de su envío.

La arquitectura WebView permite la evolución dinámica del malware.

Una de las características más distintivas de FlutterShell es su arquitectura basada en WebView, combinada con un puente de comunicación entre JavaScript y el código nativo. En este modelo, la aplicación integra un componente de navegador que muestra contenido web, al tiempo que permite que el código JavaScript se comunique directamente con las funciones nativas del sistema.

En lugar de integrar lógica maliciosa directamente en el binario de la aplicación, los ciberdelincuentes alojan partes importantes de la funcionalidad del malware en sitios web remotos bajo su control. Este enfoque ofrece varias ventajas:

El comportamiento del malware se puede modificar en tiempo real sin necesidad de recompilar la aplicación.
Se pueden introducir nuevas funcionalidades sin distribuir binarios de malware actualizados.
La detección se vuelve más difícil porque la lógica maliciosa principal reside fuera de la aplicación instalada.

Esta arquitectura proporciona a los atacantes una flexibilidad excepcional y permite una rápida adaptación a las medidas defensivas.

Múltiples variantes señalan un desarrollo activo.

Los investigadores han identificado tres variantes conocidas de FlutterShell: PodcastsLounge, PDF-Brain y PDF-Ninja. El análisis de la infraestructura de los atacantes reveló funciones JavaScript incompletas y componentes de código sin terminar, lo que sugiere que el desarrollo continúa.

Varias variantes, en particular PDF-Brain y PDF-Ninja, incorporan funciones de resumen de documentos basadas en inteligencia artificial. Sin embargo, los documentos enviados para su resumen se envían primero a través de servidores controlados por el atacante antes de su procesamiento, lo que genera importantes problemas de privacidad y seguridad para los usuarios afectados.

Fuertes vínculos técnicos con campañas anteriores.

FlutterShell comparte similitudes notables con familias de malware anteriores vinculadas a CL-CRI-1089, en particular Calendaromatic y Recipe Lister. La coincidencia más evidente es la arquitectura basada en WebView, que permite la modificación dinámica de las cargas maliciosas después de su implementación.

Los investigadores también observaron que Advantage Web Marketing LLC no solo participó en la distribución de anuncios maliciosos, sino que también actuó como firmante de muestras de adware para Windows asociadas al mismo grupo de amenazas. Estos hallazgos refuerzan aún más las conexiones entre las distintas campañas.

Un panorama de amenazas persistente y en escalada

La transición de JSCoreRunner a FlutterShell demuestra un aumento sustancial en la sofisticación técnica de CL-CRI-1089. La combinación de desarrollo avanzado de malware, operaciones de publicidad maliciosa a gran escala y el uso de empresas fantasma verificadas para eludir los controles de las plataformas publicitarias pone de manifiesto la creciente eficacia de las tácticas del grupo.

El uso coordinado de múltiples organizaciones fachada, junto con la rápida aparición de nuevas variantes de FlutterShell, sugiere que la Operación FlutterBridge sigue siendo una amenaza activa y en constante evolución. Los investigadores de seguridad advierten que la campaña está lejos de terminar y es probable que continúe adaptando sus técnicas para atacar a usuarios de macOS en todo el mundo.

Tendencias

Notificación fraudulenta por correo electrónico...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que generan una sensación de urgencia siempre deben tratarse con precaución. Los ciberdelincuentes suelen suplantar la identidad de marcas y servicios de confianza para engañar a los destinatarios y obtener información confidencial o descargar contenido malicioso. El correo electrónico fraudulento de notificación de actualización de cuenta de cPanel es un...

Mas Visto

Cargando...