برمجيات فلاتر شيل الخبيثة تهاجم أجهزة ماك عبر إعلانات جوجل

كشف خبراء الأمن الرقمي عن حملة برمجيات خبيثة متطورة تستهدف مستخدمي أجهزة ماك (macOS) عبر إعلانات جوجل ويوتيوب المضللة، مما يهدد خصوصية البيانات بشكل مباشر وخطير.

تُعرف هذه الحملة الأمنية باسم "Operation FlutterBridge"، وهي المرحلة المتطورة من نشاط إجرامي سابق تم رصده في أواخر عام 2025. وتعتمد هذه الهجمات على برمجية خبيثة جديدة تُدعى "فلاتر شيل" (FlutterShell) تم تصميمها باستخدام إطار عمل فلاتر (Flutter).

وفقاً لما تابعه فريق تيكبامين، فإن المجموعة المسؤولة عن هذه الهجمات تنشط منذ عام 2023 على الأقل. وتقوم هذه المجموعة بنشر برمجيات إعلانية خبيثة عبر تطبيقات سطح المكتب التي تبدو شرعية تماماً للمستخدم العادي.

ما هي برمجيات فلاتر شيل الخبيثة وكيف تعمل؟

تتميز برمجية FlutterShell بقدرات هجينة تجمع بين وظائف البرمجيات الإعلانية (Adware) وإمكانيات الأبواب الخلفية (Backdoor) التي تمنح المخترقين سيطرة واسعة على الجهاز المصاب.

تتضمن أهم القدرات التقنية لهذه البرمجية الخبيثة ما يلي:

• تنفيذ أوامر برمجية عشوائية عبر "Shell Command".
• التلاعب الكامل بنظام الملفات الخاص بجهاز ماك.
• سرقة وتصدير متغيرات البيئة الحساسة من نظام التشغيل.
• تعديل ملفات تكوين متصفح جوجل كروم لاختطاف حركة المرور.

كيف يتم استهداف مستخدمي ماك عبر إعلانات جوجل ويوتيوب؟

تستخدم الحملة شبكة من الشركات الوهمية الموثقة لدى جوجل لنشر إعلانات خبيثة تعمل كطعم لجذب الضحايا. وتظهر هذه الإعلانات لمستخدمي أجهزة ماك في دول عدة منها الولايات المتحدة وكندا وأستراليا وفرنسا وألمانيا.

وتشمل قائمة الشركات الوهمية التي تم رصدها حتى الآن:

• AdsParkPro LTD
• Advantage Web Marketing LLC
• SOFT WE ART LIMITED (تُعرف حالياً باسم PACIFIC TRADE SOLUTIONS LTD)

كيف تمكنت البرمجية من تجاوز أنظمة حماية أبل؟

أكد الباحثون أن جميع عينات البرمجية المكتشفة كانت موقعة بمعرفات مطورين صالحة من شركة أبل (Apple Developer IDs). هذا يعني أنها اجتازت الفحوصات الأمنية الآلية التي تجريها أبل دون أن يتم اكتشافها كبرمجيات خبيثة.

بمجرد تشغيل البرمجية، تقوم بتعديل إعدادات متصفح جوجل كروم لإجبار حركة المرور على المرور عبر خوادم وسيطة يتحكم فيها المهاجمون. ويهدف ذلك إلى عرض إعلانات مكثفة للمستخدم وتحقيق أرباح غير مشروعة من خلال النقر الاحتيالي.

يشير تقرير تيكبامين إلى أن هذه الحملة تستخدم بنية قائمة على تقنية "WebView"، مما يسمح لها بتنفيذ تعليمات برمجية بلغة جافا سكريبت بشكل مرن لتنفيذ هجماتها دون إثارة الشبهات الأمنية التقليدية.

في الختام، يُنصح مستخدمو أجهزة ماك بتوخي الحذر الشديد عند تحميل التطبيقات من خارج متجر تطبيقات أبل الرسمي، وتجنب النقر على الإعلانات التي تروج لتطبيقات إنتاجية أو أدوات نظام غير معروفة، حتى وإن كانت تظهر في منصات موثوقة مثل جوجل ويوتيوب.