برمجية FlutterShell تخترق أجهزة macOS عبر إعلانات جوجل

مقدمة تحليلية

أعلنت شركة Palo Alto Networks Unit 42 عن تفاصيل حملة خبيثة واسعة النطاق أطلقت عليها اسم Operation FlutterBridge، تستهدف مستخدمي أنظمة التشغيل macOS في عدة دول غربية تشمل الولايات المتحدة، كندا، أستراليا، فرنسا، وألمانيا. تقوم هذه الحملة بنشر برمجية خبيثة متطورة من نوع الباب الخلفي (Backdoor) تُدعى FlutterShell، وذلك باستخدام شبكة إعلانات Google Ads وYouTube Ads الموثقة كأداة أساسية للاصطياد والتوزيع الرقمي. تعتمد المجموعة المهاجمة، التي تتبعها الباحثون تحت الرمز المرجعي CL-CRI-1089، على بنية تحتية معقدة تتضمن شركات وهمية مسجلة رسمياً للالتفاف على أنظمة التحقق الصارمة لشبكات الإعلانات الكبرى.

يأتي هذا الاكتشاف ليؤكد التطور النوعي في أساليب التهديد المستمر (APT) والهجمات السيبرانية التي تستهدف بيئة macOS، والتي لطالما اعتُبرت أكثر أماناً من نظيراتها. المثير للقلق في حملة FlutterShell ليس فقط قدرتها على التخفي، بل نجاحها الكامل في تخطي بروتوكولات الفحص والتوثيق المتقدمة من Apple، حيث تم توقيع جميع العينات المكتشفة بشهادات Developer ID صالحة من آبل واجتازت عملية الفحص التلقائي (Notarization) دون إثارة أي شكوك أمنية. يوضح هذا الخرق كيف يمكن للمهاجمين استغلال سلاسل الثقة الرقمية لتمرير برمجياتهم الضارة مباشرة إلى أجهزة الضحايا الحيوية.

التحليل التقني

ترتكز البرمجية الخبيثة FlutterShell على إطار عمل Flutter المطور من قبل Google، وهو ما يمنح المهاجمين مرونة عالية في بناء تطبيقات هجينة قادرة على العمل عبر منصات متعددة مع إخفاء الأنشطة المريبة داخل طبقات برمجية معقدة. لكن الابتكار الحقيقي في هذه البرمجية يكمن في اعتمادها الكامل على معمارية هجينة قائمة على ميزة WebView وجسير برميجي يربط بين لغة JavaScript والبيئة البرمجية الأصلية للنظام (JavaScript-to-native bridge). تتيح هذه البنية الفريدة للمهاجمين استضافة المنطق البرمجي الخبيث (Malicious Logic) على خوادم تحكم خارجية (C2) بدلاً من تضمينه داخل ملف التطبيق الثنائي نفسه.

بفضل هذه المعمارية المتقدمة، يستطيع المهاجمون تغيير سلوك البرمجية وتحديث وظائفها التخريبية في الوقت الفعلي ودون الحاجة إلى إعادة تجميع ملفات التطبيق (Recompilation) أو دفع تحديثات جديدة قد ترصدها حلول الكشف والاستجابة لنقاط النهاية (EDR). عند تشغيل التطبيق المصاب على جهاز macOS، يقوم بالوظائف التالية:

• تعديل إعدادات المتصفح: تقوم البرمجية بالولوج إلى ملفات تكوين متصفح Google Chrome وتعديلها قسرياً لتوجيه حركة مرور الضحية بالكامل عبر خادم وسيط يعرض إعلانات مكثفة ويسرق البيانات.
• تنفيذ أوامر النظام: يتيح الجسر البرمجي للمهاجمين تنفيذ أوامر Shell مباشرة على نظام macOS المصاب مع صلاحيات واسعة النطاق.
• التفاعل مع نظام الملفات: توفر البرمجية واجهات برمجية للتلاعب بالملفات، قراءتها، حذفها، أو رفع ملفات إضافية إلى خادم المهاجمين.
• سرقة البيانات الحساسة: استخلاص متغيرات البيئة (Environment Variables)، وتفاصيل الجلسات النشطة للمتصفحات (Session Data)، وبيانات تحديد هوية النظام (Fingerprinting).

رصد الباحثون ثلاثة متغيرات رئيسية من هذه البرمجية الخبيثة هي: PodcastsLounge، وPDF-Brain، وPDF-Ninja. وتتميز المتغيرات المخصصة للتعامل مع ملفات PDF (مثل PDF-Brain وPDF-Ninja) بتقديم ميزة تلخيص المستندات المدعومة بالذكاء الاصطناعي كتمويه؛ حيث تطلب من المستخدم رفع المستندات ليتم إرسالها إلى خوادم تابعة للمهاجمين قبل معالجتها، مما يعني تسريب بيانات سرية للغاية تابعة للشركات والمستخدمين بذريعة استخدام تقنيات AI الحديثة.

السياق وتأثير السوق

يرى خبراء الأمن السيبراني أن مجموعة التهديد CL-CRI-1089 نشطة منذ عام 2023 على الأقل، وتعد حملة Operation FlutterBridge الامتداد المباشر لعنقود هجمات سابق تم رصده في أغسطس 2025 وحمل اسم JSCoreRunner (المعروف أيضاً باسم FileRipple) والذي كان يتخفى في هيئة برامج تحويل ملفات PDF مزيفة. ترتبط هذه المجموعة أيضاً بحملات ترويجية سابقة تحت مسميات TamperedChef وEvilAI وCalendaromatic، والتي ركزت على استغلال برمجيات الإنتاجية لتقديم برامج إعلانية خبيثة وتطبيقات غير مرغوب فيها (PUPs).

لتحقيق انتشار واسع وتجنب الحظر، وظفت المجموعة شبكة من الشركات الوهمية الموثقة لدى جوجل والمعروفة باسم (Google-verified shell companies). ومن أبرز هذه الواجهات التجارية شركات مسجلة في بريطانيا وأوكرانيا مثل AdsParkPro LTD، وAdvantage Web Marketing LLC، وSOFT WE ART LIMITED (التي تحولت لاحقاً إلى PACIFIC TRADE SOLUTIONS LTD). تشير السجلات الرسمية إلى ارتباط هذه الشركات الوهمية بأسماء أفراد أوكرانيين، وقد لعبت دوراً محورياً في تمويل وحجز الحملات الإعلانية على محركات البحث ويوتيوب لتظهر للمستخدمين كبدائل حقيقية وموثوقة لبرمجيات شهيرة، مستغلين ثقة الجمهور في علامة آبل الأمنية ومصداقية إعلانات جوجل.

رؤية Glitch4Techs

تثبت قضية FlutterShell أن جدار الحماية الأمني الذي تتبجح به شركة آبل حول نظام macOS لم يعد عصياً على الاختراق، وأن ميزة التوثيق الصارم (Notarization) التي تفرضها الشركة كفحص نهائي قبل تشغيل البرامج تواجه ثغرة هيكلية عميقة. عندما تمرر آبل برمجية خبيثة موقعة برمز مطور صالح وتمنحها "الضوء الأخضر" للتشغيل، فإنها تدمر خط الدفاع الأول للمستخدم العادي الذي يثق في تنبيهات النظام الأمنية. هذا الفشل يفرض على آبل مراجعة آليات الفحص التلقائي ودمج تحليلات سلوكية ديناميكية تتجاوز مجرد فحص الملفات الثنائية الساكنة.

من جهة أخرى، يمثل نجاح المهاجمين في استخدام شبكة شركات وهمية للحصول على حسابات إعلانات موثقة من جوجل دليلاً صارخاً على قصور إجراءات التحقق "اعرف عميلك" (KYC) لدى شركات الإعلانات الكبرى. إن معالجة أزمة الإعلانات الخبيثة (Malvertising) تتطلب تحركاً قانونياً وتقنياً سريعاً لمنع تحول محركات البحث والمنصات الترفيهية مثل يوتيوب إلى نوافذ لتوزيع البرمجيات الضارة. نتوقع في Glitch4Techs أن تشهد الفترة المقبلة تصاعداً كبيراً في استخدام البنى التحتية الهجينة مثل WebView وFlutter، نظراً لقدرتها الفائقة على تضليل أنظمة الكشف التقليدية والتهرب من الرصد عبر تحديث منطق الهجوم عن بُعد بشكل فوري وديناميكي.