Злоумышленники запустили новую платформу под названием Matrix Push C2, которая позволяет рассылать команды и красть данные через стандартные всплывающие сообщения в Chrome, Edge, Firefox и других популярных браузерах. Обнаружившая угрозу компания BlackFrog опубликовала 20 ноября подробный разбор механизма, показавший, насколько изощрённо преступники используют легитимную функцию веб-обозревателей.
Всё начинается с простого обмана. Пользователь заходит на заражённый или специально созданный сайт и видит привычную просьбу разрешить показ уведомлений. Согласие открывает прямой канал связи между браузером жертвы и сервером хакеров, который сохраняется даже после закрытия вкладки и перезагрузки устройства.
Дальше в дело вступают поддельные системные предупреждения. Они выглядят в точности как настоящие сообщения Windows, macOS или популярных приложений, сообщают о необходимости обновить защиту, проверить кошелёк или устранить ошибку безопасности. При клике человек мгновенно попадает на фишинговую страницу или начинает загрузку настоящего трояна.
BlackFrog называет эту схему безфайловой атакой, ведь на диске жертвы не остаётся ни одного подозрительного исполняемого файла, антивирусы молчат, а канал управления продолжает работать через обычную службу push-уведомлений. Угроза затрагивает все популярные платформы, от Windows и macOS до Linux и Android, ведь технология push API встроена в каждый современный браузер.
За процессом следит удобная веб-панель Matrix Push C2. На экране оператора в реальном времени отображаются все подключённые жертвы, их геолокация, версия браузера, операционная система и даже содержимое буфера обмена. В арсенале платформы готовые шаблоны под известные сервисы. Разработчики Matrix Push C2 заранее подготовили макеты уведомлений и страниц, имитирующих MetaMask, Netflix, Cloudflare, PayPal, TikTok и десятки других популярных брендов. Каждый макет до мелочей копирует официальный стиль, чтобы даже опытный пользователь не заметил подвоха.