Giriş
Bir siber güvenlik araştırma ekibi, “FlutterBridge Operasyonu” adı verilen bir macOS kötü niyetli reklam (malvertising) kampanyasını ortaya çıkardı. Bu kampanya, kullanıcıların sistemlerine adware ile birlikte yeni bir arka kapı olan FlutterShell‘in yayılmasına neden oluyor.
Saldırı Nasıl Çalışıyor?
Bu kampanya, Palo Alto Networks Unit 42 tarafından yapılan açıklamalara göre, daha önce bildirilen JSCoreRunner (diğer adıyla FileRipple ) faaliyet grubunun bir devamı niteliğindedir. Saldırgan gruplar CL-CRI-1089 kod adıyla takip edilmektedir ve en azından 2023’ten beri aktiftir. FlutterShell, Flutter framework’ü kullanılarak inşa edilmiştir ve cihazları, kötü amaçlı masaüstü uygulamaları aracılığıyla hedef alır.
- Shell komutlarının yürütülmesi
- Dosya sistemi manipülasyonu
- Çevresel değişkenlerin ele geçirilmesi
Araştırmalar, bu saldırı grubunun, Recipe Lister ve Calendaromatic gibi diğer kampanyalarla da bağlantılı olduğunu ortaya koymaktadır. Bu kampanyalar, kullanıcıların masaüstü yazılımlarını trojanlaştırarak istenmeyen programlar (PUP) ve adware dağıtma amacı taşımaktadır.
Etkilenen Sistemler
Kampanya, özellikle ABD, Kanada, Avustralya, Fransa ve Almanya’daki macOS kullanıcılarını hedef almaktadır. Saldırılarda kullanılan kötü niyetli Google ve YouTube reklamları, Google’a bağlı sahte şirketler aracılığıyla dağıtılmaktadır. Bu sahte şirketlerin bazıları şunlardır:
- AdsParkPro LTD
- Advantage Web Marketing LLC
- SOFT WE ART LIMITED (şu anki adıyla PACIFIC TRADE SOLUTIONS LTD)
Çözüm ve Korunma
Saldırının en son sürümü olan FlutterShell, sistem üzerindeki Google Chrome yapılandırma dosyalarını değiştirerek tarayıcı trafiğini saldırgan tarafından kontrol edilen dolandırıcı bir siteye yönlendirmektedir. Araştırmacılar, tüm örneklerin geçerli Apple Developer ID’leriyle imzalandığını ve Apple’ın otomatik güvenlik kontrollerinde kötü niyetli olarak işaretlenmediğini belirtmektedir.
FlutterShell, dış bir web sitesinde kötü niyetli mantık barındıran bir WebView tabanlı mimari kullanır. Bu nedenle, saldırganlar kötü niyetli yazılımın davranışını gerçek zamanlı olarak değiştirebilirler.
- Uygulama güncellemelerini kontrol edin: Kullanıcılar, sistemlerinde yüklü olan uygulamaların en son sürümlerini kullanıp kullanmadıklarını kontrol etmelidir.
- Portları kapatın: Gereksiz portların kapatılması, ek bir güvenlik katmanı sağlayabilir.
- Güvenlik yazılımı güncellemeleri: Antivirüs ve güvenlik yazılımlarının güncel tutulması önerilir.
Sonuç olarak, kullanıcıların dikkatli olması ve daha önce belirtilen adımları takip ederek sistemlerini korumaları gerekmektedir. Saldırının kapsamı ve gelişimi göz önüne alındığında, sürekli bir dikkat ve hızlı aksiyon alma gerekmektedir.
