Matrix Push C2 користи известувања од прелистувач за бездатотечни, меѓуплатформски фишинг напади

Злонамерни актери ги користат известувањата од веб-прелистувачите како вектор за фишинг напади со цел да дистрибуираат злонамерни линкови преку нова командно-контролна (C2) платформа наречена Matrix Push C2.

„Оваа бездатотечна рамка вградена во прелистувачот користи push известувања, лажни предупредувања и пренасочување на линкови за таргетирање жртви на различни оперативни системи“, изјави истражувачката од BlackFog, Бренда Роб, во извештај објавен во четврток.

Во овие напади, потенцијалните цели се измамени да дозволат известувања од прелистувачот преку социјален инженеринг на злонамерни или легитимни, но компромитирани веб-страници.

Откако корисникот ќе се согласи да прима известувања од страницата, напаѓачите го злоупотребуваат механизмот за web push известувања вграден во прелистувачот за да испраќаат аларми кои изгледаат како да се испратени од оперативниот систем или самиот прелистувач, користејќи доверлив брендинг, познати логоа и убедлив јазик за да ја одржат илузијата.

Тие може да вклучуваат предупредувања за сомнителни најавувања или ажурирања на прелистувачот, заедно со копче „Потврди“ или „Ажурирај“ кое, кога ќе се кликне, ја пренасочува жртвата кон лажна веб-страница.

Она што ја прави оваа техника особено паметна е што целиот процес се одвива преку прелистувачот без потреба претходно да се зарази системот на жртвата на друг начин. На некој начин, нападот наликува на ClickFix бидејќи корисниците се наведуваат сами да ги следат инструкциите и со тоа да го компромитираат сопствениот систем, заобиколувајќи ги традиционалните безбедносни контроли.

Дополнително, бидејќи нападот се одвива преку веб-прелистувачот, тој претставува и меѓуплатформска закана. Ова всушност значи дека секоја апликација-прелистувач на која било платформа што ќе се претплати на злонамерните известувања станува дел од мрежата на клиенти, обезбедувајќи напаѓачите постојан комуникациски канал.

Matrix Push C2 се нуди како комплет „злонамерен софтвер како услуга“ (MaaS) за други заканувачки актери. Се продава директно преку криминални канали, најчесто преку Telegram и форуми за сајбер-криминал, со модел на претплата по нивоа:

• околу 150 долари за еден месец
• 405 долари за три месеци
• 765 долари за шест месеци
• 1.500 долари за една година

„Плаќањата се прифаќаат во криптовалути, а купувачите комуницираат директно со операторот за пристап“, изјави д-р Дарен Вилијамс, основач и извршен директор на BlackFog за The Hacker News. „Matrix Push првпат беше забележан на почетокот на октомври и оттогаш е активен. Нема докази за постари верзии, претходен брендинг или долготрајна инфраструктура. Сè укажува дека станува збор за ново лансиран комплет.“

Алатката е достапна преку веб-базиран контролен панел, кој им овозможува на корисниците да испраќаат известувања, да ја следат секоја жртва во реално време, да утврдат со кои известувања жртвите комуницирале, да креираат скратени линкови преку вграден сервис за скратување URL, па дури и да снимаат кои екстензии се инсталирани во прелистувачот, вклучувајќи крипто-паричници.

„Сржта на нападот е социјалниот инженеринг, а Matrix Push C2 доаѓа со прилагодливи шаблони за максимизирање на веродостојноста на лажните пораки“, објасни Роб. „Напаѓачите лесно можат да ги стилизираат своите фишинг известувања и целни страници за да имитираат познати компании и услуги.“

Некои од поддржаните шаблони за известувања се поврзани со глобално познати брендови како MetaMask, Netflix, Cloudflare, PayPal и TikTok. Платформата вклучува и секција „Аналитика и извештаи“, која им овозможува на клиентите да ја мерат ефикасноста на нивните кампањи и да ги унапредуваат по потреба.

„Matrix Push C2 покажува промена во начинот на кој напаѓачите добиваат почетен пристап и се обидуваат да ги експлоатираат корисниците“, соопшти BlackFog. „Откако уредот на корисникот ќе биде под вакво влијание, напаѓачот може постепено да го ескалира нападот.“

„Тие може да испорачаат дополнителни фишинг пораки за кражба на креденцијали, да го измамат корисникот да инсталира постојан злонамерен софтвер или дури да искористат експлоити на прелистувачот за подлабока контрола врз системот. На крајот, целта најчесто е кражба на податоци или монетизација на пристапот, на пример преку празнење крипто-паричници или извлекување лични информации.“

Во пораст напади со злоупотреба на Velociraptor

Овој развој доаѓа откако Huntress соопшти дека забележал „значително зголемување“ на напади кои ја злоупотребуваат легитимната алатка Velociraptor за дигитална форензика и одговор на инциденти (DFIR) во последните три месеци.

На 12 ноември 2025 година, сајбер-безбедносната компанија соопшти дека заканувачки актери го инсталирале Velociraptor откако стекнале почетен пристап преку експлоатација на ранливост во Windows Server Update Services (CVE-2025-59287, CVSS оценка: 9.8), која Microsoft ја закрпи кон крајот на минатиот месец.

Потоа, напаѓачите започнале пребарувачки барања со цел да спроведат извидување и да соберат информации за корисниците, активните сервиси и конфигурациите. Нападот бил запрен пред да ескалира понатаму, додаде Huntress.

Ова откритие покажува дека заканувачките актери не користат само сопствени C2 рамки, туку и веќе достапни офанзивни алатки за сајбер-безбедност и одговор на инциденти за свои цели.

„Веќе доволно долго гледаме како заканувачките актери користат легитимни алатки за да знаеме дека Velociraptor нема да биде првата алатка со двојна намена од отворен код што ќе се појави во нападите – ниту пак ќе биде последната“, изјавија истражувачите од Huntress.

Извори:

• The Hacker News – Matrix Push C2 Uses Browser Notifications for Fileless, Cross-Platform Phishing Attacks The Hacker News