Matrix Push C2
Útočníci stále častěji využívají oznámení prohlížeče jako vstupní bod pro phishingové kampaně a využívají k tomu nově vznikající systém Command-and-Control známý jako Matrix Push C2. Tato platforma se zcela spoléhá na funkce na úrovni prohlížeče, což útočníkům umožňuje odesílat škodlivé odkazy a klamavá upozornění bez nutnosti předchozího narušení systému.
Obsah
Jak Matrix Push C2 zneužívá prohlížeč
Matrix Push C2 je bezsouborový, prohlížečově nativní framework, který zneužívá vestavěná push oznámení, zavádějící výzvy a mechanismy přesměrování. Oběti jsou obvykle přesvědčeny, často prostřednictvím sociálního inženýrství na škodlivých nebo napadených webových stránkách, aby povolily oznámení. Jakmile je povolení uděleno, útočníci začnou zasílat podvodná systémová upozornění, která napodobují důvěryhodné značky a známé prvky rozhraní.
Tyto zprávy často odkazují na podezřelá přihlášení, požadované aktualizace nebo jiné naléhavé bezpečnostní záležitosti. Každé upozornění prakticky obsahuje tlačítko, které uživatele přesměruje na podvodnou stránku určenou ke shromažďování dat nebo k podpoře útoku.
Celá tato operace probíhá uvnitř prohlížeče, což jí umožňuje efektivně obcházet tradiční bezpečnostní kontroly. Tento přístup se podobá útokům ve stylu „ClickFix“, kdy jsou uživatelé manipulováni k podkopávání vlastní bezpečnosti. Protože hrozba probíhá v prohlížeči, zahrnuje více platforem a zařízení a transformuje jakýkoli předplacený prohlížeč v trvalého komunikačního klienta pro útočníky.
Komercializovaná útočná platforma
Matrix Push C2 je propagován jako balíček malwaru jako služby (malware as a service) prostřednictvím kriminálních kanálů, jako jsou skupiny na Telegramu a fóra o kyberkriminalitě. Služba je prodávána prostřednictvím předplatného:
- 150 dolarů za jeden měsíc
- 405 dolarů za tři měsíce
- 765 dolarů za šest měsíců
- 1 500 dolarů na jeden rok
Platby kryptoměnami jsou údajně akceptovány a kupující komunikují přímo s operátorem. Sada, která byla poprvé spatřena začátkem října, nevykazuje žádné známky předchozích verzí, což naznačuje, že se jedná o nově spuštěnou službu.
Možnosti řídicího panelu a sledování cílů
Předplatitelé přistupují k Matrix Push C2 prostřednictvím webového ovládacího panelu, který jim umožňuje spravovat celý pracovní postup jejich kampaní. Mezi funkce patří:
- Sledování obětí v reálném čase
Útočníci mohou upravovat phishingové zprávy a padělat vstupní stránky, aby se vydávali za známé značky. Šablony odkazující na služby jako MetaMask, Netflix, Cloudflare, PayPal a TikTok jsou snadno dostupné. Analytická sekce pomáhá provozovatelům měřit výkon kampaní a dolaďovat jejich taktiky.
Proč je tento přístup tak efektivní
Matrix Push C2 představuje významný posun v tom, jak útočníci zajišťují počáteční přístup. Spoléháním se na důvěryhodné funkce prohlížeče útočníci snižují potřebu zneužití nebo malwaru v raných fázích svého útoku. Jakmile získají vliv nad prohlížečem uživatele, mohou svou činnost eskalovat několika způsoby:
- Zobrazování dalších phishingových výzev za účelem krádeže přihlašovacích údajů k účtu
- Manipulace oběti s cílem nainstalovat dlouhodobý malware
- Využití zranitelností prohlížeče k prohloubení přístupu k systému
Konečné cíle se liší, ale často zahrnují monetizaci nebo krádež dat, jako je vyprázdnění kryptoměnových peněženek nebo extrahování citlivých osobních údajů.
Rostoucí hrozba pro více platforem
Jak ukazuje Matrix Push C2, oznámení prohlížeče se stala mocným nástrojem pro poskytování přesvědčivých, systémových upozornění, která manipulují uživatele k ohrožení vlastního prostředí. Protože je tato metoda nezávislá na platformě a tradiční obranné mechanismy ji obtížně odhalují v rané fázi, představuje rostoucí problém jak pro jednotlivce, tak pro organizace. Bdělost a pečlivá kontrola oprávnění k oznámením jsou nyní důležitější než kdy dříve.
