Хакеры превратили обычные push-уведомления браузера в канал для скрытного управления тысячами заражённых устройств
Изображение: recraft
Злоумышленники запустили новую платформу под названием Matrix Push C2, которая позволяет рассылать команды и красть данные через стандартные всплывающие сообщения в Chrome, Edge, Firefox и других популярных браузерах. Обнаружившая угрозу компания BlackFrog опубликовала 20 ноября подробный разбор механизма, показавший, насколько изощрённо преступники используют легитимную функцию веб-обозревателей.
Всё начинается с простого обмана. Пользователь заходит на заражённый или специально созданный сайт и видит привычную просьбу разрешить показ уведомлений. Согласие открывает прямой канал связи между браузером жертвы и сервером хакеров, который сохраняется даже после закрытия вкладки и перезагрузки устройства.
Дальше в дело вступают поддельные системные предупреждения. Они выглядят в точности как настоящие сообщения Windows, macOS или популярных приложений, сообщают о необходимости обновить защиту, проверить кошелёк или устранить ошибку безопасности. При клике человек мгновенно попадает на фишинговую страницу или начинает загрузку настоящего трояна.
BlackFrog называет эту схему безфайловой атакой, ведь на диске жертвы не остаётся ни одного подозрительного исполняемого файла, антивирусы молчат, а канал управления продолжает работать через обычную службу push-уведомлений.
Угроза затрагивает все популярные платформы, от Windows и macOS до Linux и Android, ведь технология push API встроена в каждый современный браузер.
За процессом следит удобная веб-панель Matrix Push C2. На экране оператора в реальном времени отображаются все подключённые жертвы, их геолокация, версия браузера, операционная система и даже содержимое буфера обмена.
Специалисты BlackFrog объяснили, что именно возможность видеть каждое заражённое устройство онлайн превращает Matrix Push C2 в особенно опасный инструмент, потому что преступник больше не стреляет вслепую, а ведёт прицельную охоту, мгновенно реагируя на действия жертвы.
В арсенале платформы готовые шаблоны под известные сервисы. Разработчики Matrix Push C2 заранее подготовили макеты уведомлений и страниц, имитирующих MetaMask, Netflix, Cloudflare, PayPal, TikTok и десятки других популярных брендов. Каждый макет до мелочей копирует официальный стиль, чтобы даже опытный пользователь не заметил подвоха.
Дополнительно злоумышленники маскируют вредоносные ссылки под короткие и безобидные адреса, которые потом перенаправляют на настоящий фишинговый ресурс. Такой приём легко обманывает как защитные фильтры, так и человеческое чутьё, ведь короткий URL выглядит намного безопаснее длинной и запутанной строки.
