Operación FlutterBridge: campaña de malvertising en macOS distribuye backdoor FlutterShell
Unit 42 documentó una campaña activa de malvertising —anuncios digitales que distribuyen malware— dirigida a usuarios de macOS. Los anuncios distribuyen FlutterShell, un backdoor que abre acceso remoto al sistema, construido con Flutter para dificultar su detección por herramientas de seguridad.
Contexto
Unit 42 (el equipo de investigación de amenazas de Palo Alto Networks) documentó la Operación FlutterBridge, una campaña de malvertising dirigida a usuarios de macOS. El malvertising es una técnica donde anuncios publicitarios legítimos que aparecen en sitios web normales redirigen a páginas que instalan software malicioso. En este caso, los anuncios distribuyen FlutterShell, un backdoor(programa que abre una puerta de acceso remoto al sistema infectado) construido usando Flutter, el framework de desarrollo de apps de Google. Usar Flutter dificulta el análisis del malware por herramientas de seguridad convencionales porque el código tiene una estructura poco habitual.
Por qué importa
macOS históricamente tuvo menos malware que Windows, lo que creó una percepción de seguridad mayor entre sus usuarios. Esa percepción es cada vez menos válida. Los Macs son comunes en perfiles profesionales, agencias, equipos de diseño y startups, sectores con presencia en México. Un backdoor instalado da al atacante acceso silencioso y persistente al equipo: puede leer archivos, capturar lo que se escribe, activar la cámara, y moverse a otros sistemas en la misma red.
Impacto potencial
Para personas
Usuarios de macOS que usan el equipo para trabajo: correos, documentos, contraseñas almacenadas en el navegador, acceso a cuentas corporativas, todo está expuesto si FlutterShell se instala.
Para organizaciones
Un backdoor en el equipo de un empleado es una brecha silenciosa. El atacante puede permanecer semanas o meses sin ser detectado, extrayendo información o esperando el momento de mayor impacto. Si el equipo comprometido tiene acceso a sistemas internos, el atacante tiene acceso a esos sistemas también.
Recomendaciones
Para personas
Evita instalar software desde anuncios, aunque aparezcan en sitios conocidos. Si quieres una app, busca el sitio oficial del fabricante directamente. Activa el Gatekeeper de macOS (Preferencias del Sistema → Seguridad y privacidad → Permitir apps descargadas de: App Store y desarrolladores identificados). Si instalaste algo recientemente desde un anuncio, realiza un escaneo con Malwarebytes para Mac (versión gratuita disponible).
Para organizaciones
Solicitar a TI que verifique si existe solución de endpoint protection —software de seguridad en los equipos— en los Macs de la empresa, y si está actualizado para detectar amenazas como FlutterShell. Para equipos con acceso a sistemas críticos, evaluar si el nivel de protección actual es suficiente.
Pregunta diagnóstica
¿Los equipos macOS de la empresa tienen instalada una solución de seguridad de endpoint activa y actualizada?
Leer fuente original →