Matrix Push C2
Trusselsaktører bruger i stigende grad browsernotifikationer som et indgangspunkt for phishing-kampagner ved hjælp af et nyligt fremvoksende Command-and-Control-framework kendt som Matrix Push C2. Denne platform er udelukkende afhængig af funktioner på browserniveau, hvilket gør det muligt for angribere at levere ondsindede links og vildledende advarsler uden at kræve en forudgående systemkompromittering.
Indholdsfortegnelse
Hvordan Matrix Push C2 udnytter browseren
Matrix Push C2 er et filløst, browser-native framework, der misbruger indbyggede push-notifikationer, vildledende prompts og omdirigeringsmekanismer. Ofrene bliver typisk overtalt, ofte gennem social engineering på ondsindede eller kompromitterede websteder, til at tillade notifikationer. Når tilladelse er givet, begynder angriberne at levere falske systemadvarsler, der efterligner betroede brands og velkendte grænsefladeelementer.
Disse beskeder refererer ofte til mistænkelige logins, nødvendige opdateringer eller andre presserende sikkerhedsspørgsmål. Hver alarm indeholder bekvemt en knap, der fører brugeren til en svindelside, der er designet til at indsamle data eller fremme angrebet.
Hele denne operation udfolder sig inde i browseren, hvilket gør den effektiv til at omgå traditionelle sikkerhedskontroller. Tilgangen minder om 'ClickFix'-lignende angreb, hvor brugerne manipuleres til at underminere deres egen sikkerhed. Fordi den kører gennem browseren, spænder truslen over flere platforme og enheder og forvandler enhver abonneret browser til en vedvarende kommunikationsklient for angribere.
En kommerciel angrebsplatform
Matrix Push C2 markedsføres som en malware-as-a-service-pakke, der annonceres via kriminelle kanaler såsom Telegram-grupper og cyberkriminalitetsfora. Tjenesten sælges via abonnementsniveauer:
- 150 dollars for en måned
- 405 dollars i tre måneder
- 765 dollars i seks måneder
- 1.500 dollars for et år
Kryptovalutabetalinger accepteres angiveligt, og købere kommunikerer direkte med operatøren. Kittet, der først blev set i begyndelsen af oktober, viser ingen tegn på tidligere iterationer, hvilket tyder på, at det er en nyligt lanceret tjeneste.
Dashboardfunktioner og målsporing
Abonnenter får adgang til Matrix Push C2 via et webbaseret dashboard, der giver dem mulighed for at administrere hele arbejdsgangen for deres kampagner. Funktionerne omfatter:
- Sporing af offer i realtid
Angribere kan bruge temaer til at bruge phishing-beskeder og forfalske landingssider for at udgive sig for at være kendte brands. Skabeloner, der refererer til tjenester som MetaMask, Netflix, Cloudflare, PayPal og TikTok, er let tilgængelige. En analysesektion hjælper operatører med at måle kampagnepræstationer og finjustere deres taktikker.
Hvorfor denne tilgang er så effektiv
Matrix Push C2 repræsenterer et bemærkelsesværdigt skift i, hvordan angribere sikrer den indledende adgang. Ved at stole på betroede browserfunktioner reducerer angribere behovet for exploits eller malware i de tidlige stadier af deres indtrængen. Når de først har etableret indflydelse på brugerens browser, kan de eskalere deres operation på flere måder:
- Levering af yderligere phishing-prompter for at stjæle kontooplysninger
- Manipulering af offeret til at installere langvarig malware
- Udnyttelse af browsersårbarheder til at forbedre systemadgangen
Slutmålene varierer, men involverer ofte monetisering eller datatyveri, såsom at tømme kryptovaluta-tegnebøger eller udtrække følsomme personlige oplysninger.
En voksende trussel på tværs af platforme
Som Matrix Push C2 demonstrerer, er browsernotifikationer blevet et effektivt værktøj til at levere overbevisende, systemlignende advarsler, der manipulerer brugere til at kompromittere deres egne miljøer. Fordi metoden er platformuafhængig og vanskelig for traditionelle forsvarssystemer at opdage på et tidligt stadie, repræsenterer den en voksende bekymring for både enkeltpersoner og organisationer. Årvågenhed og omhyggelig kontrol af notifikationstilladelser er nu vigtigere end nogensinde.
