Matrix Push C2
Hotaktörer använder i allt högre grad webbläsaraviseringar som en ingångspunkt för nätfiskekampanjer med hjälp av ett nyligen framväxande kommando- och kontrollramverk som kallas Matrix Push C2. Denna plattform förlitar sig helt på funktioner på webbläsarnivå, vilket gör det möjligt för angripare att leverera skadliga länkar och vilseledande varningar utan att kräva en föregående systemkompromiss.
Innehållsförteckning
Hur Matrix Push C2 utnyttjar webbläsaren
Matrix Push C2 är ett fillöst, webbläsarbaserat ramverk som missbrukar inbyggda push-meddelanden, vilseledande uppmaningar och omdirigeringsmekanismer. Offren övertalas vanligtvis, ofta genom social ingenjörskonst på skadliga eller komprometterade webbplatser, att tillåta meddelanden. När tillstånd har beviljats börjar angriparna leverera bedrägliga systemaviseringar som imiterar betrodda varumärken och välbekanta gränssnittselement.
Dessa meddelanden hänvisar ofta till misstänkta inloggningar, nödvändiga uppdateringar eller andra brådskande säkerhetsfrågor. Varje varning innehåller praktiskt taget en knapp som leder användaren till en bedräglig sida som är utformad för att samla in data eller främja attacken.
Hela denna operation utspelar sig inuti webbläsaren, vilket gör den effektiv för att kringgå traditionella säkerhetskontroller. Tillvägagångssättet liknar attacker i "ClickFix"-stil där användare manipuleras att undergräva sin egen säkerhet. Eftersom det körs genom webbläsaren spänner hotet över flera plattformar och enheter och förvandlar vilken prenumerant webbläsare som helst till en ihållande kommunikationsklient för angripare.
En kommersialiserad attackplattform
Matrix Push C2 marknadsförs som ett paket för skadlig programvara som en tjänst, och annonseras via kriminella kanaler som Telegram-grupper och cyberbrottsforum. Tjänsten säljs via prenumerationsnivåer:
- 150 dollar för en månad
- 405 dollar för tre månader
- 765 dollar för sex månader
- 1 500 dollar för ett år
Kryptovalutabetalningar accepteras enligt uppgift, och köpare kommunicerar direkt med operatören. Kitet, som först sågs i början av oktober, visar inga tecken på tidigare iterationer, vilket tyder på att det är en nyligen lanserad tjänst.
Instrumentpanelfunktioner och målspårning
Prenumeranter får tillgång till Matrix Push C2 via en webbaserad instrumentpanel som låter dem hantera hela arbetsflödet för sina kampanjer. Funktionerna inkluderar:
- Spårning av offer i realtid
Angripare kan använda teman för nätfiskemeddelanden och förfalska landningssidor för att utge sig för att vara välkända varumärken. Mallar som refererar till tjänster som MetaMask, Netflix, Cloudflare, PayPal och TikTok finns lättillgängliga. En analyssektion hjälper operatörer att mäta kampanjprestanda och finjustera sina taktiker.
Varför denna metod är så effektiv
Matrix Push C2 representerar ett anmärkningsvärt skifte i hur angripare säkrar initial åtkomst. Genom att förlita sig på betrodda webbläsarfunktioner minskar angripare behovet av exploateringar eller skadlig kod under de tidiga stadierna av sitt intrång. När de väl etablerat inflytande över användarens webbläsare kan de eskalera sin verksamhet på flera sätt:
- Leverera ytterligare nätfiskemeddelanden för att stjäla kontouppgifter
- Manipulera offret att installera långsiktig skadlig kod
- Utnyttja webbläsarsårbarheter för att fördjupa systemåtkomsten
Slutmålen varierar men involverar ofta intäktsgenerering eller datastöld, såsom att tömma kryptovalutaplånböcker eller extrahera känslig personlig information.
Ett växande hot över flera plattformar
Som Matrix Push C2 visar har webbläsaraviseringar blivit ett kraftfullt verktyg för att leverera övertygande, systemliknande varningar som manipulerar användare att kompromettera sina egna miljöer. Eftersom metoden är plattformsoberoende och svår för traditionella försvar att upptäcka i ett tidigt skede, utgör den en växande oro för både individer och organisationer. Vaksamhet och noggrann granskning av aviseringsbehörigheter är nu viktigare än någonsin.
