Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Matrix Push C2: атаки на основе браузера и Push API

3
3 мин
Новый отчет подробно описывает платформу управления и контроля Matrix Push C2, которая использует браузерные технологии для поддержания скрытой связи со скомпрометированными пользователями. Вместо традиционных исполняемых файлов злоумышленники эксплуатируют веб-функции — в частности W3C Push API и Service Workers — чтобы сочетать вредоносный трафик со стандартными веб-действиями и усложнить обнаружение. Matrix Push C2 держит канал связи через браузер, что позволяет злоумышленникам: Платформа использует два основных механизма распространения: Matrix Push C2 усиливает устойчивость инфраструктуры за счет использования blockchain — конфигурационные данные хранятся в smart contracts на смарт-цепочке BNB. Это добавляет уровень устойчивости к удалению и усложняет отследивание и блокировку командного канала. Ведущие кампании Matrix Push C2 фокусировались на владельцах расширений криптовалютных кошельков. Злоумышленники рассылают вводящие в заблуждение уведомления о «обновлениях безопасности» и
Оглавление

Новый отчет подробно описывает платформу управления и контроля Matrix Push C2, которая использует браузерные технологии для поддержания скрытой связи со скомпрометированными пользователями. Вместо традиционных исполняемых файлов злоумышленники эксплуатируют веб-функции — в частности W3C Push API и Service Workers — чтобы сочетать вредоносный трафик со стандартными веб-действиями и усложнить обнаружение.

Как это работает

Matrix Push C2 держит канал связи через браузер, что позволяет злоумышленникам:

  • поддерживать *постоянную связь* с жертвами без установки классического malware;
  • маскировать вредоносную активность под обычные запросы веб-сайтов и уведомления;
  • целить индивидуально — воздействовать на поведение конкретных пользователей.

Ключевые методы доставки: ClearFake и ClickFix

Платформа использует два основных механизма распространения:

  • ClearFake — компрометация большого числа веб-сайтов и внедрение вредоносных скриптов-загрузчиков прямо в страницы; такие скрипты обеспечивают доставку компонентов C2 через браузерную среду.
  • ClickFix — социальная инженерия: пользователю показываются поддельные предупреждения (о проблемах браузера, DNS и т. п.), которые побуждают выполнить команды, кажущиеся «техподдержкой» или «ремонтом». Часто это инструкции по запуску обычных системных утилит, что повышает шансы обхода защитных механизмов.

Устойчивость и скрытность: blockchain и smart contracts

Matrix Push C2 усиливает устойчивость инфраструктуры за счет использования blockchain — конфигурационные данные хранятся в smart contracts на смарт-цепочке BNB. Это добавляет уровень устойчивости к удалению и усложняет отследивание и блокировку командного канала.

Целевые кампании: атаки на пользователей криптокошельков

Ведущие кампании Matrix Push C2 фокусировались на владельцах расширений криптовалютных кошельков. Злоумышленники рассылают вводящие в заблуждение уведомления о «обновлениях безопасности» или «сбросе средств», чтобы выманить конфиденциальную информацию — в том числе начальные фразы и учетные данные кошельков. Платформа способна обнаруживать и идентифицировать установленные расширения, что позволяет проводить индивидуальные, высокоэффективные фишинговые атаки.

Оценка риска

Эксперты классифицируют Matrix Push C2 как повышенную угрозу, присваивая ей рейтинг риска 6,8. Такой уровень объясняется высокой развертываемостью платформы и её способностью работать скрытно, опираясь на взаимодействие с пользователем вместо стандартных исполняемых компонентов.

«Matrix Push C2 сочетает вредоносный трафик со стандартными веб-действиями, что значительно затрудняет обнаружение традиционными средствами».

Рекомендации по защите

Для снижения риска компрометации организации и пользователи должны принять комплекс мер:

  • Политики браузера: блокировать запросы на показ уведомлений по умолчанию, ограничивать использование Service Workers и применять жесткие политики контента (CSP) для внешних скриптов.
  • Обучение пользователей: регулярно информировать о рисках выполнения непроверенных команд и о приемах социальной инженерии (например, поддельные уведомления о «ремонте» браузера).
  • Мониторинг и телеметрия: активнее собирать браузерную телеметрию и интегрировать события в системы SIEM для раннего обнаружения признаков ClearFake, EtherHiding и схожих техник.
  • Классические меры безопасности: не пренебрегать фильтрацией электронной почты, защитой конечных точек (EDR), и многофакторной аутентификацией для критичных сервисов — эти меры остаются важной частью защиты.

Вывод

Matrix Push C2 демонстрирует эволюцию угроз: злоумышленники переходят от бинарных нагрузок к эксплуатации браузерных возможностей и взаимодействия с пользователем. Это требует от организаций сочетания технических ограничений на уровне браузера, улучшенной телеметрии и целевых программ обучения пользователей. Только интегрированный подход сможет эффективно снизить риски, связанные с такими скрытными и адаптивными платформами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Matrix Push C2: атаки на основе браузера и Push API".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Технологии в финансах
65 тыс интересуются