Säkerhetsforskare på Palo Alto Networks Unit 42 har avslöjat en storskalig kampanj kallad Operation FlutterBridge, där cyberkriminella använder falska Google-annonser för att lura Mac-användare att ladda ner skadlig kod. Kampanjen har pågått sedan 2023 och har blivit alltmer sofistikerad.

Bakom attackerna står ett kriminellt nätverk som Unit 42 kallar CL-CRI-1089. Gruppen skapade tidigare skadlig programvara för Windows-användare under namnen RecipeLister och Calendaroma, men har nu riktat in sig på macOS.

Så fungerar kampanjen

Angriparna sätter upp skalbolag för att köpa verifierade Google-annonser. På så sätt passerar de Googles säkerhetskontroller och kan visa annonser högt upp i sökresultaten. När en användare klickar på annonsen laddas ett program ner som ser ut som en podcastspelare eller PDF-läsare, men som i verkligheten innehåller bakdörren FlutterShell.

FlutterShell är ett nytt skadeprogram byggt i Googles programmeringsramverk Flutter, vilket gör det svårare att analysera och upptäcka med traditionella antivirusverktyg. Programmet ger angriparna fjärråtkomst till den infekterade datorn.

Varför är Mac-användare i riskzonen?

Många företag använder Mac-datorer, inte minst inom kreativa branscher, teknik och finans. En vanlig missuppfattning är att macOS är immunt mot skadlig kod. Den här kampanjen visar att angripare aktivt anpassar sina metoder för att nå Mac-användare.

Det som gör FlutterBridge extra farlig är att den når offren via betalda Google-annonser, en källa de flesta uppfattar som trovärdig.

Skydda din organisation

Unit 42 rekommenderar att organisationer använder DNS-filtrering och slutpunktsskydd som täcker macOS. Det är också viktigt att utbilda personal i att vara skeptiska även mot sponsrade söklänkar och att alltid gå direkt till leverantörens officiella webbplats i stället för att klicka på annonser.

Företag med Mac-miljöer bör se över sina säkerhetspolicyer och säkerställa att skyddsverktyg inte bara täcker Windows-datorer.

Källa: HackRead / Palo Alto Networks Unit 42