Matrix Push C2
Útočníci čoraz častejšie využívajú upozornenia prehliadača ako vstupný bod pre phishingové kampane a využívajú pritom novovznikajúci systém Command-and-Control známy ako Matrix Push C2. Táto platforma sa úplne spolieha na funkcie na úrovni prehliadača, čo útočníkom umožňuje posielať škodlivé odkazy a klamlivé upozornenia bez nutnosti predchádzajúceho narušenia systému.
Obsah
Ako Matrix Push C2 zneužíva prehliadač
Matrix Push C2 je bezsúborový, prehliadačovo-natívny framework, ktorý zneužíva vstavané push notifikácie, zavádzajúce výzvy a mechanizmy presmerovania. Obete sú zvyčajne presvedčené, často prostredníctvom sociálneho inžinierstva na škodlivých alebo napadnutých webových stránkach, aby povolili notifikácie. Po udelení povolenia útočníci začnú zobrazovať podvodné systémové upozornenia, ktoré napodobňujú dôveryhodné značky a známe prvky rozhrania.
Tieto správy často odkazujú na podozrivé prihlásenia, požadované aktualizácie alebo iné naliehavé bezpečnostné záležitosti. Každé upozornenie obsahuje tlačidlo, ktoré používateľa presmeruje na podvodnú stránku určenú na zhromažďovanie údajov alebo na podporu útoku.
Celá táto operácia sa odohráva vo vnútri prehliadača, vďaka čomu je efektívna pri obchádzaní tradičných bezpečnostných kontrol. Tento prístup sa podobá útokom v štýle „ClickFix“, pri ktorých sú používatelia manipulovaní tak, aby podkopali svoju vlastnú bezpečnosť. Keďže hrozba prebieha cez prehliadač, rozprestiera sa na viacerých platformách a zariadeniach, čím transformuje akýkoľvek predplatený prehliadač na trvalého komunikačného klienta pre útočníkov.
Komercializovaná útočná platforma
Matrix Push C2 sa predáva ako balík malvéru ako služby (malware as a service), ktorý sa propaguje prostredníctvom kriminálnych kanálov, ako sú skupiny v Telegrame a fóra o kyberkriminalite. Služba sa predáva prostredníctvom úrovní predplatného:
- 150 dolárov za jeden mesiac
- 405 dolárov za tri mesiace
- 765 dolárov za šesť mesiacov
- 1 500 dolárov na jeden rok
Platby v kryptomenách sú údajne akceptované a kupujúci komunikujú priamo s operátorom. Súprava, ktorá bola prvýkrát videná začiatkom októbra, nevykazuje žiadne známky predchádzajúcich iterácií, čo naznačuje, že ide o novo spustenú službu.
Funkcie ovládacieho panela a sledovanie cieľov
Predplatitelia majú prístup k Matrix Push C2 prostredníctvom webového panela, ktorý im umožňuje spravovať celý pracovný postup ich kampaní. Medzi funkcie patria:
- Sledovanie obetí v reálnom čase
Útočníci môžu upravovať phishingové správy a falošné vstupné stránky, aby sa vydávali za známe značky. Šablóny odkazujúce na služby ako MetaMask, Netflix, Cloudflare, PayPal a TikTok sú ľahko dostupné. Analytická sekcia pomáha prevádzkovateľom merať výkonnosť kampaní a dolaďovať ich taktiky.
Prečo je tento prístup taký účinný
Matrix Push C2 predstavuje významný posun v spôsobe, akým útočníci zabezpečujú počiatočný prístup. Spoliehaním sa na dôveryhodné funkcie prehliadača útočníci znižujú potrebu zneužitia alebo škodlivého softvéru v počiatočných fázach svojho prieniku. Keď získajú vplyv nad prehliadačom používateľa, môžu svoju operáciu eskalovať niekoľkými spôsobmi:
- Zobrazovanie ďalších phishingových výziev na krádež prihlasovacích údajov k účtu
- Manipulácia obete s cieľom nainštalovať dlhodobý malvér
- Využívanie zraniteľností prehliadača na prehĺbenie prístupu k systému
Konečné ciele sa líšia, ale často zahŕňajú monetizáciu alebo krádež údajov, ako je vyprázdnenie kryptomenových peňaženiek alebo extrakcia citlivých osobných údajov.
Rastúca hrozba pre rôzne platformy
Ako ukazuje Matrix Push C2, notifikácie prehliadača sa stali mocným nástrojom na poskytovanie presvedčivých, systémových upozornení, ktoré manipulujú používateľov, aby ohrozili svoje vlastné prostredie. Keďže táto metóda je nezávislá od platformy a tradičné obranné mechanizmy ju ťažko odhalia v ranom štádiu, predstavuje rastúci problém pre jednotlivcov aj organizácie. Opatrnosť a dôkladná kontrola povolení na notifikácie sú teraz dôležitejšie ako kedykoľvek predtým.
