駭客推出名為「
Matrix Push」的新型命令與控制(C2)工具,專門劫持瀏覽器通知功能來發動網釣攻擊。資安公司 BlackFog 的最新報告指出,這款工具介面簡潔、操作便利,攻擊者可輕鬆透過合法瀏覽器向受害者推送惡意通知。
Matrix Push 預先內建多種知名品牌的通知與釣魚頁面範本,包括 PayPal、MetaMask、Cloudflare、TikTok 和 Netflix。攻擊者可偽造登入警告、安全提示或錯誤訊息,誘騙使用者點擊惡意連結。
該工具的儀表板功能完整,讓攻擊者能追蹤受害者的詳細資訊,包括人數、地理位置、IP 位址、瀏覽器與作業系統的類型及版本,以及加密貨幣錢包使用紀錄。攻擊者還可即時監控受害者的線上狀態和通知瀏覽時間,藉此選擇最佳攻擊時機。
攻擊手法解析
攻擊者使用 Matrix Push 時,首先會透過社交工程或其他手段,誘導使用者造訪受其控制的惡意網站或已遭入侵的網站。接著,該網站會像一般合法網站一樣,利用瀏覽器的通知 API 請求推送通知權限。
一旦使用者同意授權,惡意網站就會註冊服務工作程式(Service Worker)、建立 Push API 訂閱,並將資料傳回 Matrix Push 的 C2 伺服器。由於這些 API 和流程是各大主流瀏覽器的標準配置,Matrix Push 能在任何瀏覽器或作業系統上運作。
完成設定後,攻擊者就能透過瀏覽器原生的通知功能向受害者發送網釣訊息,而且不會觸發任何安全警報。
難以偵測的原因
BlackFog 執行長 Darren Williams 解釋,瀏覽器允許這種行為是因為使用者已明確授予通知權限,而且所使用的 API 完全合法。這些通知透過瀏覽器廠商的推送服務,以一般加密推送流量傳送,過程中不涉及惡意程式或漏洞利用。
因為這類活動看起來與日常網站通知完全相同,資安工具通常不會標記。唯一的惡意元素是訊息內容或目標連結,而這些變化速度太快,傳統偵測機制難以追蹤。
訂閱制銷售模式
Matrix Push 於上月初開始在 Telegram 頻道和暗網論壇流通。目前採分級訂閱制銷售:月費 150 美元、三個月 405 美元、半年 765 美元、全年 1,500 美元,均以加密貨幣支付。
開發者以英文向金錢導向的駭客推銷此工具。專家指出,這顯示其目標客群為廣泛的國際網路犯罪社群。且該工具具彈性且跨平台運作,可能用於針對一般消費者的憑證竊取、支付詐騙、加密貨幣詐騙等大規模社交工程攻擊。
防護建議
阻止 Matrix Push 需要瀏覽器開發商、資安廠商、網路管理員和使用者共同努力:
- 瀏覽器開發商可實作更強的濫用防護機制,例如信譽評分系統、自動撤銷可疑網站的通知權限,並對高風險通知請求提供更明確的警告
- 資安產品可協助偵測並封鎖已知的 Matrix Push 基礎架構,並提供企業停用或限制網頁推送功能的選項
- 使用者和管理員應避免不必要的通知授權,並定期檢視和移除來自不明或不可信網站的權限
本文轉載自 DarkReading。