Matrix Push C2 è una nuova piattaforma di command-and-control fileless che sfrutta le notifiche push del browser per condurre sofisticati attacchi di phishing multipiattaforma. Gli attori malevoli stanno adottando sempre più spesso questa tecnica innovativa per distribuire link malevoli e convincere le vittime a eseguire azioni rischiose sfruttando l’ingegneria sociale. Il funzionamento di Matrix Push C2 si basa sulla richiesta di consenso per ricevere notifiche push da parte di siti compromessi o malevoli. Una volta che l’utente acconsente, i cybercriminali possono inviare notifiche che simulano avvisi di sistema o aggiornamenti del browser, utilizzando loghi e linguaggi familiari per aumentare la credibilità.

Le notifiche spesso contengono pulsanti che invitano l’utente a verificare l’account o aggiornare il browser. Cliccando su questi, la vittima viene reindirizzata verso pagine di phishing, dove rischia di consegnare credenziali o di avviare download dannosi. L’aspetto più subdolo di questo attacco è che tutto avviene all’interno del browser senza che venga scaricato alcun file iniziale, rendendo difficile il rilevamento da parte delle soluzioni di sicurezza tradizionali. Inoltre, trattandosi di una minaccia cross-platform, qualsiasi dispositivo che accetta le notifiche push può essere colpito, indipendentemente dal sistema operativo.

Caratteristiche di Matrix Push C2

• Malware-as-a-Service (MaaS): Matrix Push C2 viene venduto come servizio su forum di cybercrime e Telegram, con un modello di abbonamento che parte da circa 150 dollari al mese.
• Dashboard web: Offre una dashboard che permette ai criminali di gestire campagne di notifica, monitorare in tempo reale le vittime, accorciare URL e raccogliere informazioni sulle estensioni installate, inclusi eventuali wallet di criptovalute.
• Template personalizzabili: Permette di imitare servizi noti come MetaMask, Netflix, Cloudflare, PayPal e TikTok, aumentando la credibilità degli attacchi.

L’obiettivo finale degli aggressori può essere il furto di credenziali, l’installazione di ulteriori malware più persistenti o l’esfiltrazione di dati sensibili, spesso con la finalità di monetizzare l’accesso ottenuto. Parallelamente, si registra anche un aumento nell’uso malevolo di strumenti legittimi come Velociraptor, sfruttati dai cybercriminali per la raccolta di informazioni e il movimento laterale in seguito all’exploit di vulnerabilità nei server Windows. Questo scenario conferma la tendenza crescente all’uso di strumenti nativi e tecniche fileless per aggirare i controlli di sicurezza e compromettere utenti e aziende.