Matrix Push C2: lažne notifikacije veb pregledača vode do malvera

Vesti, 24.11.2025, 11:00 AM

Istraživači iz BlackFrog-a otkrili su novu komandno-kontrolnu infrastrukturu nazvanu Matrix Push C2, koja koristi legitimnu funkciju web pregledača - push notifikacije - za isporuku malvera, phishing napade i praćenje žrtava u realnom vremenu.

C2 platforma, koju je otkrio BlackFrog, vara korisnike lažnim sistemskim obaveštenjima, preusmerava ih na zlonamerne sajtove, prati zaražene uređaje u realnom vremenu, pa čak i skenira novčanike sa kriptovalutama.

U izveštaju objavljenom 20. novembra, BlackFrog je opisao kako Matrix Push C2 zloupotrebljava legitimni sistem push obaveštenja veb pregledača kao C2 kanal.

Napad počinje socijalnim inženjeringom: korisnici se navode da dozvole obaveštenja veb pregledača na kompromitovanim ili malicioznim sajtovima. U trenutku kada kliknu “Dozvoli”, napadač dobija direktnu vezu sa njihovim uređajem, bez obzira na operativni sistem (Windows, macOS, Linux, Android…).

Zatim počinje slanje lažnih sistemskih obaveštenja i bezbednosnih upozorenja, vizuelno identičnih legitimnim porukama operativnog sistema ili popularnih aplikacija. Jedan klik na takvo obaveštenje vodi žrtvu na phishing stranicu ili dovodi do preuzimanja malvera.

BlackFrog ovaj napad naziva fileless napadom, jer se odvija preko notifikacija veb pregledača, a ne kroz uobičajene izvršne fajlove na disku.

Matrix Push C2 je kompletna veb platforma za kontrolu žrtava: napadač ima kontrolnu tablu sa pregledom aktivnih zaraženih uređaja u realnom vremenu, dobija detaljne informacije o svakom kompromitovanom uređaju, prati klikove, ponašanje i efektivnost kampanje i može da menja taktiku na osnovu analitike i statistike.

Ono što Matrix Push C2 čini tako opasnim je što napadač dobija obaveštajne informacije o zaraženom uređaju u realnom vremenu.

„Napadač ne šalje slepo fišing imejlove nadajući se da će neko kliknuti, već ima živu vezu sa pregledačem žrtve“, rekao je BlackFrog.

U podešavanjima Matrix Push C2 se nalaze i unapred pripremljeni šabloni za lažna obaveštenja koja imitiraju brendove poput MetaMask-a, Netflix-a, Cloudflare-a, PayPal-a, TikTok-a i drugih, kako bi izgledala uverljivo i kako bi se povećala stopu konverzije.

Napadači mogu kreirati i skraćene URL-ove, koji naizgled deluju bezopasno, a u pozadini preusmeravaju na maliciozni sadržaj, što otežava detekciju i smanjuje sumnju žrtve.

BlackFrog upozorava da Matrix Push C2 predstavlja ozbiljan zaokret jer napadači više ne „gađaju nasumično“, već imaju stalnu, dvosmernu vezu sa veb pregledačem žrtve, što napad čini preciznim, uhodanim i teško detektabilnim.

Kao preporuku za zaštitu BlackFrog navodi upotrebu ADX (anti-data-exfiltration) tehnologije, koja blokira neželjeni odlazni saobraćaj.