Thought Leadership
Die macOS-Kampagne Operation FlutterBridge nutzt manipulierte Google- und YouTube-Anzeigen, um die neue Schadsoftware FlutterShell zu verbreiten.
Die IT-Sicherheitsanalysten von Palo Alto Networks Unit 42 haben eine neue Cybersicherheitskampagne aufgedeckt, die gezielt Nutzer des Betriebssystems macOS ins Visier nimmt. Die Operation trägt den Codenamen Operation FlutterBridge und dient der Verbreitung einer neuartigen Schadsoftware namens FlutterShell. Den Untersuchungen zufolge stellt diese Aktivität die nächste Entwicklungsstufe einer bereits im August 2025 dokumentierten Angreifergruppe dar, die unter den Bezeichnungen JSCoreRunner beziehungsweise FileRipple bekannt ist. Die hinter den Kampagnen stehende kriminelle Gruppierung wird von Sicherheitsforschern unter der Kennung CL-CRI-1089 nachverfolgt und ist seit mindestens 2023 aktiv.
Für die Verteilung der Malware nutzen die Täter manipulierte Werbeanzeigen auf den Plattformen Google und YouTube (Malvertising). Um die Überprüfungsmechanismen der Werbenetzwerke zu umgehen, setzt die Gruppe ein Netzwerk von durch Google verifizierten Scheinfirmen ein. Zu diesen Tarnunternehmen gehören offizielle Registrierungen wie AdsParkPro LTD, Advantage Web Marketing LLC sowie SOFT WE ART LIMITED, welche später in PACIFIC TRADE SOLUTIONS LTD umbenannt wurde.
Die geschalteten Werbeanzeigen richten sich gezielt an macOS-Anwender in den USA, Kanada, Australien, Frankreich und Deutschland. Daten aus dem britischen Unternehmensregister Companies House und dem ukrainischen Analyseportal YouControl zeigen Verknüpfungen dieser Scheinfirmen zu ukrainischen Staatsbürgern. Entdeckungen dieser kompromittierten Werbekonten reichten bis in den März 2026 hinein.
macOS-Malware-Verhalten kann in Echtzeit verändert werden
Die Schadsoftware FlutterShell wurde mithilfe des Entwicklungs-Frameworks Flutter programmiert. Sie kombiniert die Eigenschaften einer Adware, die unerwünschte Werbung einblendet, mit den Funktionen einer klassischen Backdoor. Das Programm ist in der Lage, beliebige Shell-Befehle auf dem infizierten System auszuführen, Interaktionen mit dem Dateisystem vorzunehmen und systemeigene Umgebungsvariablen auszulesen.
„Nach der Ausführung ändert die Malware die Konfigurationsdateien von Google Chrome, um den Browser zu kapern, wodurch der gesamte Datenverkehr über eine vom Angreifer kontrollierte, mit Werbung gefüllte Zwischenseite geleitet wird.“
Ido Asher, Noa Dekel und Tom Fakterman, Forscher von Palo Alto Networks
Sämtliche von den Analysten abgefangenen Malware-Proben waren mit gültigen Apple-Entwickler-IDs signiert und hatten den automatisierten Notarisierungsprozess von Apple erfolgreich durchlaufen, weshalb sie zum Zeitpunkt der Einreichung nicht als schädlich blockiert wurden. Eine Besonderheit von FlutterShell ist die auf einer Webansicht (WebView) basierende Architektur, die eine Brücke zwischen JavaScript und dem nativen System schlägt. Dies erlaubt es den Betreibern, die eigentliche Schadlogik auf einem externen Server zu hosten, anstatt sie direkt in die ausführbare Datei zu integrieren.
Unit 42 erklärte dieses Prinzip: „In einer WebView-basierten Architektur verwendet eine native Anwendung eine eingebettete Webbrowser-Komponente, um Inhalte anzuzeigen. Die JavaScript-zu-Native-Brücke fungiert als Kommunikationskanal zwischen diesem Webinhalt und der nassen nativen Anwendung, sodass sie Daten austauschen und Funktionen gegenseitig aufrufen können.“ Dadurch kann das Verhalten der Malware in Echtzeit verändert werden, ohne dass eine Neukompilierung oder ein Software-Update auf dem Opfer-Rechner erforderlich ist.
Identifizierte Varianten und integrierte KI-Funktionen
Die Ermittler konnten bislang drei eigenständige Varianten von FlutterShell identifizieren, die unter den Bezeichnungen PodcastsLounge, PDF-Brain und PDF-Ninja laufen. Unvollständige Codeabschnitte in der serverseitigen JavaScript-Logik deuten darauf hin, dass sich die Schadsoftware in einer aktiven Weiterentwicklung befindet. Die Varianten PDF-Brain und PDF-Ninja verfügen über eine integrierte, auf künstlicher Intelligenz basierende Funktion zur Zusammenfassung von Textdokumenten. Um diese Funktion auszuführen, werden die Dokumente des Nutzers vor der eigentlichen Verarbeitung über einen von den Angreifern kontrollierten Server umgeleitet.
Darüber hinaus ermöglicht die Malware das Erstellen eines digitalen System-Fingerabdrucks sowie das Entwenden von Sitzungsdaten (Session-Cookies) aus den installierten Webbrowsern. Das Tarnunternehmen Advantage Web Marketing LLC trat in diesem Zusammenhang nicht nur als Betreiber der Werbeanzeigen auf, sondern fungierte zeitgleich als digitaler Unterzeichner für Windows-basierte Adware-Varianten, die demselben kriminellen Cluster zugeordnet werden.
