Matrix Push C2
脅威アクターは、Matrix Push C2と呼ばれる新たなコマンドアンドコントロールフレームワークを用いて、ブラウザ通知をフィッシング攻撃の入り口として利用するケースが増えています。このプラットフォームはブラウザレベルの機能のみに依存しているため、攻撃者は事前にシステムを侵害することなく、悪意のあるリンクや偽のアラートを送信できます。
目次
Matrix Push C2がブラウザを悪用する方法
Matrix Push C2は、ファイルレスでブラウザネイティブなフレームワークであり、組み込みのプッシュ通知、誤解を招くようなプロンプト、リダイレクトメカニズムを悪用します。被害者は通常、悪意のあるウェブサイトや侵害されたウェブサイト上でソーシャルエンジニアリングを駆使し、通知を許可するように誘導されます。許可されると、攻撃者は信頼できるブランドや使い慣れたインターフェース要素を模倣した不正なシステムアラートを送信し始めます。
これらのメッセージには、不審なログイン、必要なアップデート、その他の緊急のセキュリティ問題に関する内容が頻繁に記載されています。各アラートには、データ収集や攻撃の継続を目的とした不正なページへユーザーを誘導するボタンが巧妙に表示されています。
この操作はすべてブラウザ内で実行されるため、従来のセキュリティ制御を効果的に回避できます。このアプローチは、ユーザーを操って自身のセキュリティを侵害させる「ClickFix」型の攻撃に似ています。ブラウザを介して実行されるため、脅威は複数のプラットフォームとデバイスに広がり、登録済みのブラウザを攻撃者にとっての永続的な通信クライアントに変えてしまいます。
商業化された攻撃プラットフォーム
Matrix Push C2は、Telegramグループやサイバー犯罪フォーラムなどの犯罪者向けチャネルを通じて、マルウェア・アズ・ア・サービス(MaaS)パッケージとして販売されています。このサービスは、以下のサブスクリプションプランを通じて販売されています。
- 1ヶ月150ドル
- 3ヶ月で405ドル
- 6ヶ月で765ドル
- 1年間で1,500ドル
仮想通貨による支払いが受け入れられ、購入者は運営者と直接やり取りできると報じられています。10月初旬に初めて確認されたこのキットには、以前のバージョンの痕跡が見られず、新たに開始されたサービスであることが示唆されています。
ダッシュボード機能とターゲット追跡
加入者はWebベースのダッシュボードからMatrix Push C2にアクセスし、キャンペーンのワークフロー全体を管理できます。主な機能は以下のとおりです。
- リアルタイムの被害者追跡
- カスタムプッシュ通知の配信
- 通知インタラクションの監視
- フィッシングリンクを簡素化する組み込みの URL 短縮機能
- 暗号通貨ウォレットを含むインストールされたブラウザ拡張機能の記録
攻撃者は、フィッシングメッセージのテーマ設定やランディングページの偽装によって有名ブランドになりすますことができます。MetaMask、Netflix、Cloudflare、PayPal、TikTokなどのサービスを参照するテンプレートがすぐに利用できます。分析セクションは、キャンペーンのパフォーマンスを測定し、戦術を微調整するのに役立ちます。
このアプローチがなぜ効果的なのか
Matrix Push C2は、攻撃者が初期アクセスを確保する方法における顕著な変化を示しています。信頼できるブラウザ機能を利用することで、攻撃者は侵入の初期段階でエクスプロイトやマルウェアを使用する必要性を軽減します。ユーザーのブラウザへの影響力を確立すると、攻撃者はいくつかの方法で攻撃をエスカレートさせることができます。
- アカウント認証情報を盗むためのさらなるフィッシングプロンプトを配信する
- 被害者を操って長期的なマルウェアをインストールさせる
- ブラウザの脆弱性を利用してシステムへのアクセスを深化させる
最終目的はさまざまですが、多くの場合、暗号通貨ウォレットを空にしたり、機密性の高い個人情報を抽出したりするなど、金銭の搾取やデータの盗難が伴います。
増大するクロスプラットフォームの脅威
Matrix Push C2が示すように、ブラウザ通知は、システムのような説得力のあるアラートを送信し、ユーザーを操って自身の環境に侵入させる強力なツールとなっています。この手法はプラットフォームに依存せず、従来の防御策では早期に検知することが困難であるため、個人と組織の両方にとって懸念が高まっています。通知権限の監視と綿密な精査は、これまで以上に重要になっています。
