Pesquisadores de cibersegurança da **Palo Alto Networks Unit 42** expuseram uma sofisticada campanha de malvertising, codinome **Operação FlutterBridge**, que está espalhando ativamente um novo backdoor para macOS conhecido como **FlutterShell**. Esta campanha marca uma escalada significativa em relação às atividades anteriores atribuídas ao grupo de ameaças **CL-CRI-1089**, que está ativo desde pelo menos 2023. ## Evolução da Campanha e Atribuição A **Operação FlutterBridge** é identificada como a fase mais recente de um cluster de atividades previamente documentado, **JSCoreRunner** (também conhecido como **FileRipple**), relatado pela primeira vez no final de agosto de 2025. As operações atribuídas ao **CL-CRI-1089** também englobam campanhas como **Recipe Lister** e **Calendaromatic**. Estas se enquadram na designação mais ampla de **TamperedChef** (ou **EvilAI**), uma série contínua de campanhas que utilizam software de produtividade trojanizado para entregar programas potencialmente indesejados (PUPs) e adware. ## Malvertising e Táticas Enganosas Os atacantes alavancam anúncios maliciosos do **Google** e **YouTube**, distribuídos através de uma rede de empresas de fachada verificadas pelo **Google**. Esses anúncios servem como iscas, enganando os usuários a baixar malware disfarçado de aplicativos de desktop legítimos. Empresas de fachada identificadas neste esquema incluem **AdsParkPro LTD**, **Advantage Web Marketing LLC** e **SOFT WE ART LIMITED** (agora **PACIFIC TRADE SOLUTIONS LTD**). Registros do YouControl e do Companies House do governo do Reino Unido sugerem que essas empresas têm ligações com indivíduos ucranianos. Os alvos principais desses anúncios enganosos são usuários de macOS nos EUA, Canadá, Austrália, França e Alemanha. ## Desvendando as Capacidades do FlutterShell O **FlutterShell**, construído usando o framework **Flutter**, infecta alvos ao se disfarçar de aplicativos de desktop legítimos. A **Unit 42** observa que "Além de sua funcionalidade de adware, o payload possui capacidades de backdoor, incluindo execução de comandos de shell e manipulação do sistema de arquivos."  O backdoor suporta execução de comandos arbitrários, interação com o sistema de arquivos e exfiltração de variáveis de ambiente. Esses esforços foram detectados tão recentemente quanto março de 2026. Alarmantemente, todas as amostras de **FlutterShell** observadas foram assinadas com **Apple Developer IDs** válidos e passaram com sucesso pelo processo de notarização da **Apple**. Isso significa que as verificações de segurança automatizadas da **Apple** falharam em sinalizá-los como maliciosos no momento da submissão, permitindo que o malware contornasse medidas de segurança críticas do macOS. Após a execução, o **FlutterShell** modifica arquivos de configuração do **Google Chrome**, sequestrando o navegador para forçar todo o tráfego através de um site intermediário controlado pelo atacante e repleto de anúncios. ## Arquitetura WebView: Uma Ameaça Dinâmica Um aspecto técnico chave do **FlutterShell** é sua arquitetura baseada em WebView, que emprega uma ponte JavaScript-para-nativo. Esse design permite que os adversários hospedem lógica maliciosa em um site externo em vez de incorporá-la diretamente no binário do aplicativo. "Na arquitetura baseada em WebView, um aplicativo nativo usa um componente de navegador web embutido para exibir conteúdo", explica a **Unit 42**. "A ponte JavaScript-para-nativo atua como um canal de comunicação entre esse conteúdo web e o aplicativo nativo hospedeiro, permitindo que eles troquem dados e invoquem funcionalidades cruzadas." Essa abordagem concede aos atacantes a capacidade de alterar dinamicamente o comportamento do malware em tempo real sem a necessidade de recompilar ou enviar versões atualizadas para os hosts comprometidos, tornando a detecção e a defesa mais desafiadoras. ## Desenvolvimento Ativo e Ameaça Persistente Pesquisadores identificaram três variantes distintas de **FlutterShell**: **PodcastsLounge**, **PDF-Brain** e **PDF-Ninja**. A presença de funções inacabadas na lógica JavaScript hospedada na infraestrutura dos atacantes sugere que o malware está em desenvolvimento ativo. Notavelmente, **PDF-Brain** e **PDF-Ninja** apresentam uma capacidade de sumarização com inteligência artificial (IA), retransmitindo documentos através de um servidor controlado pelo atacante para processamento. O malware também realiza a identificação do sistema e rouba dados de sessão do navegador. Similaridades técnicas, particularmente a arquitetura de código baseada em WebView para mudanças dinâmicas de payload, ligam o **FlutterShell** ao **Calendaromatic** e **Recipe Lister**. Além disso, a **Advantage Web Marketing LLC** foi observada não apenas distribuindo anúncios maliciosos, mas também atuando como signatária de variantes de adware para Windows associadas ao cluster. A **Unit 42** alerta que "A evolução do **JSCoreRunner** para o **FlutterShell** representa um aumento significativo na profundidade técnica para os atacantes por trás do **CL-CRI-1089**." Eles enfatizam a escala da rede de distribuição e o uso de entidades de fachada verificadas para contornar a verificação da rede de anúncios, destacando o perigo persistente do malvertising. "A coordenação de múltiplas entidades de fachada e o rápido desenvolvimento e entrega de novas variantes de **FlutterShell** indicam que esta campanha está longe de terminar."