Atacatorii cibernetici adoptă tehnici din ce în ce mai dificil de detectat, folosind acum notificările integrate în browser pentru a distribui linkuri malițioase fără a infecta inițial sistemul victimei.
Un instrument nou, denumit Matrix Push C2, a devenit rapid popular în mediile infracționale datorită modului în care exploatează mecanismele standard de notificare ale browserului, scrie The Hacker News.
Potrivit cercetătorilor BlackFog, platforma este concepută astfel încât să funcționeze direct în browser, fără fișiere descărcate și fără pași suplimentari pentru compromiterea dispozitivelor.
În practică, utilizatorii sunt convinși să permită notificările prin diverse tactici de inginerie socială, fie pe site-uri rău intenționate, fie pe pagini legitime care au fost compromise.
Odată ce permisiunea este acordată, atacatorii pot trimite alerte care imită mesaje de sistem sau notificări oficiale ale browserului, folosind logouri și formulări credibile pentru a induce în eroare victima.
Aceste mesaje pot semnala „probleme de securitate”, „actualizări necesare” sau „activități suspecte”, incluzând butoane de verificare sau actualizare care redirecționează către site-uri frauduloase.
Cum funcționează Matrix Push C2 și de ce este atât de periculos
Ceea ce diferențiază Matrix Push C2 este faptul că atacul se desfășoară complet în cadrul browserului, eliminând nevoia unui punct inițial de infecție în sistem.
Astfel, tehnica funcționează pe orice platformă, Windows, macOS, Linux sau mobil, atâta timp cât browserul poate primi notificări. Practic, orice aplicație de navigare care s-a abonat la notificările malițioase poate deveni un canal permanent de comunicare pentru atacatori.
Instrumentul este comercializat ca un serviciu complet de tip malware-as-a-service (MaaS). Pachetele sunt vândute în mod obișnuit prin canale de criminalitate informatică precum Telegram, având abonamente lunare sau anuale, cu prețuri între 150 și 1.500 de dolari.
Plățile sunt acceptate exclusiv în criptomonedă, iar operatorii permit cumpărătorilor să acceseze kitul și să-și configureze propriile campanii.
După autentificare, atacatorii au acces la un tablou de bord web ce le permite să trimită notificări personalizate, să urmărească în timp real victimele, să vadă ce mesaje au fost accesate și să genereze linkuri scurtate cu ajutorul unui serviciu integrat.
Platforma poate chiar să detecteze extensiile instalate în browser, inclusiv portofelele de criptomonede, sporind riscul financiar pentru victime.
Ce se știe despre extinderea atacurilor și folosirea altor instrumente legitime
Matrix Push C2 vine echipat cu numeroase șabloane de notificări care pot imita servicii populare precum Netflix, PayPal, Cloudflare, MetaMask sau TikTok, crescând șansele ca utilizatorii să cadă în capcană.
Atacatorii pot adapta temele vizuale și limbajul pentru a reproduce cu fidelitate mesajele companiilor reale, ceea ce face detecția dificilă chiar și pentru utilizatorii atenți.
În paralel cu apariția Matrix Push C2, cercetătorii Huntress au raportat o creștere a atacurilor care deturnează instrumente legitime de analiză forensică, precum Velociraptor.
Într-un incident recent, infractorii ar fi exploatat o vulnerabilitate gravă din Windows Server Update Services pentru a obține acces inițial, după care au folosit Velociraptor pentru colectarea de informații despre sistem. Deși atacul a fost oprit înainte de extindere, acesta arată o tendință clară: folosirea tot mai frecventă a uneltelor defensive în scopuri ofensive.
Specialiștii avertizează că astfel de tehnici pot permite escaladarea rapidă a compromiterii. Un atacator poate continua prin furt de credențiale, instalarea unui malware persistente sau exploatarea unor vulnerabilități din browser pentru acces mai profund în sistem.
Obiectivul final rămâne, în majoritatea cazurilor, furtul de date sau monetizarea accesului, inclusiv prin golirea portofelelor de criptomonede sau extragerea de informații personale.