Cybersicherheitsforscher von **Palo Alto Networks Unit 42** haben eine ausgeklügelte Malvertising-Kampagne namens **Operation FlutterBridge** aufgedeckt, die aktiv eine neue macOS-Backdoor namens **FlutterShell** verbreitet. Diese Kampagne markiert eine deutliche Eskalation gegenüber früheren Aktivitäten der Bedrohungsgruppe **CL-CRI-1089**, die seit mindestens 2023 aktiv ist. ## Entwicklung der Kampagne und Attribution **Operation FlutterBridge** wird als die neueste Phase eines zuvor dokumentierten Aktivitätsclusters, **JSCoreRunner** (auch bekannt als **FileRipple**), identifiziert, der Ende August 2025 erstmals gemeldet wurde. Zu den Aktivitäten, die **CL-CRI-1089** zugeschrieben werden, gehören auch Kampagnen wie **Recipe Lister** und **Calendaromatic**. Diese fallen unter die breitere Bezeichnung **TamperedChef** (oder **EvilAI**), eine fortlaufende Reihe von Kampagnen, die trojanisierte Produktivitätssoftware nutzen, um potenziell unerwünschte Programme (PUPs) und Adware zu verbreiten. ## Malvertising und irreführende Taktiken Die Angreifer nutzen bösartige **Google**- und **YouTube**-Anzeigen, die über ein Netzwerk von **Google**-verifizierten Briefkastenfirmen verbreitet werden. Diese Anzeigen dienen als Lockmittel und verleiten Nutzer dazu, Malware herunterzuladen, die als legitime Desktop-Anwendungen getarnt ist. Zu den identifizierten Frontfirmen in diesem Schema gehören **AdsParkPro LTD**, **Advantage Web Marketing LLC** und **SOFT WE ART LIMITED** (jetzt **PACIFIC TRADE SOLUTIONS LTD**). Aufzeichnungen von YouControl und dem britischen Companies House deuten darauf hin, dass diese Firmen Verbindungen zu ukrainischen Personen haben. Die Hauptziele dieser irreführenden Anzeigen sind macOS-Nutzer in den USA, Kanada, Australien, Frankreich und Deutschland. ## Die Fähigkeiten von FlutterShell im Detail **FlutterShell**, erstellt mit dem **Flutter**-Framework, infiziert Ziele, indem es sich als legitime Desktop-Anwendungen ausgibt. **Unit 42** stellt fest: "Zusätzlich zu seiner Adware-Funktionalität verfügt die Payload über Backdoor-Fähigkeiten, einschließlich der Ausführung von Shell-Befehlen und der Manipulation des Dateisystems."  Die Backdoor unterstützt die Ausführung beliebiger Befehle, die Interaktion mit dem Dateisystem und die Exfiltration von Umgebungsvariablen. Diese Bemühungen wurden bis März 2026 nachgewiesen. Alarmierenderweise waren alle beobachteten **FlutterShell**-Samples mit gültigen **Apple Developer IDs** signiert und haben den **Apple**-Notarisierungsprozess erfolgreich durchlaufen. Das bedeutet, dass die automatisierten Sicherheitsprüfungen von **Apple** sie zum Zeitpunkt der Einreichung nicht als bösartig kennzeichneten, wodurch die Malware kritische macOS-Sicherheitsmaßnahmen umgehen konnte. Nach der Ausführung modifiziert **FlutterShell** die Konfigurationsdateien von **Google Chrome** und kapert den Browser, um den gesamten Datenverkehr über eine vom Angreifer kontrollierte, werbeverseuchte Zwischenseite zu leiten. ## WebView-Architektur: Eine dynamische Bedrohung Ein wichtiger technischer Aspekt von **FlutterShell** ist seine WebView-basierte Architektur, die eine JavaScript-zu-Native-Bridge verwendet. Dieses Design ermöglicht es Angreifern, bösartige Logik auf einer externen Website zu hosten, anstatt sie direkt in die Anwendungsbinärdatei einzubetten. "Bei einer WebView-basierten Architektur verwendet eine native Anwendung eine eingebettete Browserkomponente zur Anzeige von Inhalten", erklärt **Unit 42**. "Die JavaScript-zu-Native-Bridge fungiert als Kommunikationskanal zwischen diesen Webinhalten und der Host-nativen Anwendung, wodurch sie Daten austauschen und Funktionen übergreifend aufrufen können." Dieser Ansatz ermöglicht es den Angreifern, das Verhalten der Malware in Echtzeit dynamisch zu ändern, ohne sie neu kompilieren oder aktualisierte Versionen an kompromittierte Hosts pushen zu müssen, was die Erkennung und Abwehr erschwert. ## Aktive Entwicklung und anhaltende Bedrohung Forscher haben drei verschiedene Varianten von **FlutterShell** identifiziert: **PodcastsLounge**, **PDF-Brain** und **PDF-Ninja**. Die Präsenz unfertiger Funktionen in der JavaScript-Logik, die auf der Infrastruktur der Angreifer gehostet wird, deutet darauf hin, dass die Malware aktiv entwickelt wird. Insbesondere **PDF-Brain** und **PDF-Ninja** verfügen über eine KI-gestützte Zusammenfassungsfunktion, die Dokumente zur Verarbeitung über einen vom Angreifer kontrollierten Server leitet. Die Malware führt auch System-Fingerprinting durch und stiehlt Browser-Sitzungsdaten. Technische Ähnlichkeiten, insbesondere die WebView-basierte Codearchitektur für dynamische Payload-Änderungen, verbinden **FlutterShell** mit **Calendaromatic** und **Recipe Lister**. Darüber hinaus wurde beobachtet, dass **Advantage Web Marketing LLC** nicht nur bösartige Anzeigen verbreitet, sondern auch als Unterzeichner für Windows-Adware-Varianten fungiert, die mit dem Cluster in Verbindung stehen. **Unit 42** warnt: "Die Entwicklung von **JSCoreRunner** zu **FlutterShell** stellt eine erhebliche Steigerung der technischen Tiefe für die Angreifer hinter **CL-CRI-1089** dar." Sie betonen das Ausmaß des Vertriebsnetzwerks und die Nutzung verifizierter Briefkastenfirmen zur Umgehung der Ad-Network-Prüfung und heben die anhaltende Gefahr von Malvertising hervor. "Die Koordination mehrerer Briefkastenfirmen und die schnelle Entwicklung und Bereitstellung neuer **FlutterShell**-Varianten deuten darauf hin, dass diese Kampagne noch lange nicht vorbei ist."