Matrix Push C2: nowa platforma C2 nadużywa powiadomień przeglądarki do bezplikowych, wieloplatformowych kampanii phishingowych

Wprowadzenie do problemu / definicja luki

Badacze opisali nową usługę przestępczą Matrix Push C2, która zamienia powiadomienia przeglądarki w kanał dowodzenia i kontroli (C2) do dostarczania linków phishingowych i złośliwych przekierowań – bez konieczności początkowej infekcji plikowej. Atak jest wieloplatformowy (działa na dowolnym systemie z przeglądarką), a wektor bazuje na socjotechnice wymuszającej akceptację notyfikacji przez ofiarę. Usługa jest sprzedawana w modelu MaaS (malware-as-a-service) z abonamentami i obsługiwana m.in. przez kanały Telegram.

W skrócie

• Jak wygląda atak: ofiara jest nakłaniana do włączenia powiadomień strony (złośliwej lub skompromitowanej). Napastnik wysyła potem „systemowo” wyglądające alerty (np. „weryfikacja logowania”, „aktualizacja przeglądarki”), które prowadzą do stron phishingowych lub pobierają malware. Całość dzieje się w przeglądarce, bez wstępnego droppera.
• Cechy C2: panel www z telemetrią ofiar w czasie rzeczywistym, szablony podszywające się pod MetaMask, Netflix, Cloudflare, PayPal, TikTok, skracacz linków i rejestrowanie rozszerzeń (np. portfeli krypto).
• Monetyzacja: subskrypcje ok. $150 / m-c, $405 / 3 m-ce, $765 / 6 m-cy, $1,500 / rok; płatność w krypto. Pierwsze obserwacje: początek października 2025 r.
• Podobieństwo do „ClickFix”: ofiara sama „klika się” w kompromitację, obchodząc klasyczne kontrole.

Kontekst / historia / powiązania

W ostatnich miesiącach widać trend wykorzystywania legalnych funkcji i narzędzi do działań po stronie atakujących. Równolegle raportowano nadużycia narzędzia Velociraptor (DFIR) po włamaniu przez lukę CVE-2025-59287 w WSUS, co pokazuje, że grupy mieszają autorskie frameworki C2 z dostępnymi narzędziami.

Analiza techniczna / szczegóły luki

Jak to działa od strony przeglądarki

• Push API i Notifications API pozwalają stronom, po wyraźnej zgodzie użytkownika, dostarczać wiadomości nawet, gdy karta nie jest aktywna. Te same mechanizmy – w złych rękach – stają się kanałem C2 do wyświetlania wiarygodnie wyglądających powiadomień na poziomie systemu.
• Po subskrypcji napastnik może wypychać (push) komunikaty i kierować ofiarę na spreparowane landing pages. Brak wstępnego pliku = bezplikowość (fileless), co utrudnia wykrywanie przez klasyczne AV/EDR.

Funkcje Matrix Push C2 z perspektywy operatora

• Dashboard kampanii: lista „klientów” (przeglądarek), skuteczność dostarczania, zbieranie interakcji (kliknięcia), wykrywanie rozszerzeń, w tym portfeli krypto.
• Szablony/tematy: gotowe wzorce podszywające się pod popularne marki poprawiają konwersję phishingu.
• Skracacz URL z analityką: ułatwia kamuflaż i pomiar skuteczności.

Sprzedaż i model usługowy

• Dostęp MaaS z cennikiem abonamentowym i komunikacją przez fora/Telegram; kryptopłatności. Pierwsze ślady: październik 2025 r.

Praktyczne konsekwencje / ryzyko

• Wieloplatformowość: każdy system z przeglądarką i włączonymi powiadomieniami może zostać „klientem” tego C2.
• Omijanie kontroli: brak droppera i działanie „w kanale” przeglądarki utrudniają korelację alertów i sygnatur.
• Krótka droga do eskalacji: po pierwszym kliknięciu – kradzież danych logowania, instalacja trwalszego malware, ataki na portfele krypto.

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów bezpieczeństwa / IT:

1. Twarde polityki powiadomień przeglądarki w organizacji:
   • W Chromium/Firefox ograniczaj lub wyłącz globalnie Web Push/Notifications dla niezatwierdzonych domen (policies/GPO, allow-list).
   • Wymuś „quiet notification UI” albo pełny opt-out tam, gdzie to możliwe. (Podstawy działania i ryzyka: MDN).
2. Higiena uprawnień w przeglądarkach: skryptowe czyszczenie zgód na powiadomienia i Service Workerów dla użytkowników, regularny reset site permissions. (Mechanizmy i best practices: MDN).
3. Filtracja ruchu wychodzącego i kontrola skracaczy linków (proxy/SWG/NGFW), z korelacją do źródeł powiadomień.
4. Uwierzytelnianie odporne na phishing (np. FIDO2/WebAuthn, klucze sprzętowe), aby zminimalizować skutki przejęcia haseł.
5. Playbook IR: dodaj scenariusz „nadużycie powiadomień” – kroki:
   • inwentaryzacja zgód i SW,
   • blokowanie domen kampanii z panelu C2 (IOC z telemetrii),
   • wymuszenie zmiany haseł/oflagowanie sesji. (Opis działania kampanii: BlackFog/THN).

Dla użytkowników końcowych:

• Nie zezwalaj na powiadomienia z nieznanych stron; cofaj zgody w ustawieniach przeglądarki.
• Nie klikaj „aktualizacji”/„weryfikacji” z powiadomień – aktualizacje uruchamiaj wyłącznie z menu przeglądarki. (Charakterystyka fałszywych alertów: BlackFog/THN).

Różnice / porównania z innymi przypadkami

• „ClickFix” vs. Matrix Push C2: oba wektory wykorzystują interakcję użytkownika do ominięcia zabezpieczeń, ale Matrix Push opiera się na legitymizacji kanału powiadomień (UI systemowe), co zwiększa wiarygodność i zasięg (wiele OS/przeglądarek).
• Nadużycia narzędzi DFIR (Velociraptor): inny etap „kill chain” – po włamaniu (np. przez WSUS CVE-2025-59287) napastnicy używają legalnych narzędzi do C2; w Matrix Push C2 wejście następuje z poziomu przeglądarki bez RCE.

Podsumowanie / kluczowe wnioski

Matrix Push C2 to pragmatyczna ewolucja phishingu: uderza w zaufany interfejs powiadomień, dostarcza fileless i cross-platform kampanie oraz daje operatorom mierzalny, automatyzowany kanał C2. Organizacje powinny ograniczyć Web Push, wdrożyć MFA odporne na phishing i zaktualizować playbooki IR o scenariusze nadużycia powiadomień.

Źródła / bibliografia

1. The Hacker News — „Matrix Push C2 Uses Browser Notifications for Fileless, Cross-Platform Phishing Attacks”, 22 listopada 2025. (The Hacker News)
2. BlackFog — „New Matrix Push C2 Abuses Push Notifications to Deliver Malware”, 20 listopada 2025. (BlackFog)
3. MDN Web Docs — „Push API”. (MDN Web Docs)
4. MDN Web Docs — „Using the Notifications API”. (MDN Web Docs)
5. Huntress — „Velociraptor Misuse, Pt. I: WSUS-Up?”, 2 dni temu. (Huntress)