VietNetwork.Vn

Những kẻ xấu đang lợi dụng thông báo trên trình duyệt làm phương tiện tấn công lừa đảo để phát tán các liên kết độc hại thông qua nền tảng chỉ huy và kiểm soát (C2) mới có tên là Matrix Push C2.

Nhà nghiên cứu Brenda Robb của Blackfog cho biết trong báo cáo hôm thứ Năm: "Khung không tệp gốc trên trình duyệt này tận dụng thông báo đẩy, cảnh báo giả mạo và chuyển hướng liên kết đến các nạn nhân mục tiêu trên nhiều hệ điều hành".


Trong các cuộc tấn công này, mục tiêu tiềm năng sẽ bị lừa cho phép thông báo trên trình duyệt thông qua kỹ thuật xã hội trên các trang web độc hại hoặc hợp pháp nhưng đã bị xâm phạm.

Khi người dùng đồng ý nhận thông báo từ trang web, kẻ tấn công sẽ lợi dụng cơ chế thông báo đẩy web được tích hợp sẵn trong trình duyệt web để gửi cảnh báo trông giống như được gửi bởi hệ điều hành hoặc chính trình duyệt, lợi dụng thương hiệu đáng tin cậy, logo quen thuộc và ngôn ngữ thuyết phục để duy trì mưu đồ.

Bao gồm các cảnh báo về, chẳng hạn, các lần đăng nhập hoặc cập nhật trình duyệt đáng ngờ, cùng với nút "Xác minh" hoặc "Cập nhật" tiện dụng, khi nhấp vào, nạn nhân sẽ được chuyển đến một trang web giả mạo.

Điều khiến đây trở thành một kỹ thuật thông minh là toàn bộ quá trình diễn ra thông qua trình duyệt mà không cần phải lây nhiễm hệ thống của nạn nhân bằng bất kỳ phương tiện nào khác. Theo một cách nào đó, cuộc tấn công này giống như ClickFix ở chỗ người dùng bị dụ làm theo các hướng dẫn nhất định để xâm nhập hệ thống của chính họ, qua đó thực sự vượt qua các biện pháp kiểm soát bảo mật truyền thống.

Chưa hết. Vì cuộc tấn công diễn ra thông qua trình duyệt web, nó còn là mối đe dọa đa nền tảng. Về cơ bản, điều này sẽ biến bất kỳ ứng dụng trình duyệt nào trên bất kỳ nền tảng nào đăng ký nhận thông báo độc hại thành một phần của nhóm máy khách, tạo cho kẻ tấn công một kênh liên lạc liên tục.

Matrix Push C2 được cung cấp dưới dạng bộ công cụ phần mềm độc hại dưới dạng dịch vụ (MaaS) cho các tác nhân đe dọa khác. Nó được bán trực tiếp thông qua các kênh phần mềm độc hại, thường là qua Telegram và các diễn đàn tội phạm mạng, theo mô hình đăng ký theo cấp bậc: khoảng 150 đô la cho một tháng, 405 đô la cho ba tháng, 765 đô la cho sáu tháng và 1.500 đô la cho cả năm.

"Thanh toán được chấp nhận bằng tiền điện tử, và người mua liên hệ trực tiếp với nhà điều hành để được truy cập", Tiến sĩ Darren Williams, nhà sáng lập kiêm CEO của BlackFog, chia sẻ với The Hacker News. "Matrix Push được phát hiện lần đầu tiên vào đầu tháng 10 và đã hoạt động kể từ đó. Không có bằng chứng nào về các phiên bản cũ hơn, thương hiệu cũ hơn hay cơ sở hạ tầng lâu đời. Mọi thứ đều cho thấy đây là một bộ công cụ mới ra mắt."

Công cụ này có thể truy cập dưới dạng bảng điều khiển dựa trên web, cho phép người dùng gửi thông báo, theo dõi từng nạn nhân theo thời gian thực, xác định thông báo mà nạn nhân đã tương tác, tạo liên kết rút gọn bằng dịch vụ rút gọn URL tích hợp và thậm chí ghi lại các tiện ích mở rộng trình duyệt đã cài đặt, bao gồm cả ví tiền điện tử.

"Cốt lõi của cuộc tấn công là kỹ thuật xã hội, và Matrix Push C2 được tích hợp sẵn các mẫu có thể cấu hình để tối đa hóa độ tin cậy của các tin nhắn giả mạo", Robb giải thích. "Kẻ tấn công có thể dễ dàng tạo chủ đề cho các thông báo lừa đảo và trang đích để mạo danh các công ty và dịch vụ nổi tiếng."

Một số mẫu xác minh thông báo được hỗ trợ liên kết với các thương hiệu nổi tiếng như MetaMask, Netflix, Cloudflare, PayPal và TikTok. Nền tảng này cũng bao gồm phần "Phân tích & Báo cáo" cho phép khách hàng đo lường hiệu quả chiến dịch và tinh chỉnh chúng khi cần thiết.

"Matrix Push C2 cho thấy sự thay đổi trong cách kẻ tấn công giành quyền truy cập ban đầu và cố gắng khai thác người dùng", BlackFog nói. "Một khi điểm cuối của người dùng (máy tính hoặc thiết bị di động) bị ảnh hưởng bởi loại tấn công này, kẻ tấn công có thể dần dần leo thang cuộc tấn công."

"Chúng có thể gửi thêm tin nhắn lừa đảo để đánh cắp thông tin đăng nhập, lừa người dùng cài đặt phần mềm độc hại dai dẳng hơn, hoặc thậm chí lợi dụng các lỗ hổng bảo mật trên trình duyệt để kiểm soát sâu hơn hệ thống. Mục tiêu cuối cùng thường là đánh cắp dữ liệu hoặc kiếm tiền từ việc truy cập, ví dụ như rút tiền từ ví tiền điện tử hoặc đánh cắp thông tin cá nhân."

Các cuộc tấn công lạm dụng Velociraptor đang gia tăng.

Sự phát triển này diễn ra khi Huntress cho biết họ đã quan sát thấy "sự gia tăng đáng kể" các cuộc tấn công sử dụng công cụ pháp y kỹ thuật số và ứng phó sự cố (DFIR) hợp pháp của Velociraptor làm vũ khí trong ba tháng qua.

Vào ngày 12 tháng 11 năm 2025, nhà cung cấp an ninh mạng cho biết các tác nhân đe dọa đã triển khai Velociraptor sau khi có được quyền truy cập ban đầu thông qua việc khai thác lỗ hổng trong Dịch vụ cập nhật Windows Server ( CVE-2025-59287, điểm CVSS: 9,8), đã được Microsoft vá vào cuối tháng trước.

Sau đó, những kẻ tấn công được cho là đã khởi chạy các truy vấn khám phá với mục tiêu do thám và thu thập thông tin chi tiết về người dùng, các dịch vụ đang chạy và cấu hình. Huntress cho biết thêm, cuộc tấn công đã bị ngăn chặn trước khi nó có thể tiến triển thêm.

Phát hiện này cho thấy những kẻ tấn công không chỉ sử dụng các khuôn khổ C2 tùy chỉnh mà còn sử dụng các công cụ ứng phó sự cố và an ninh mạng tấn công có sẵn để mang lại lợi thế cho chúng.

Các nhà nghiên cứu của Huntress cho biết: "Chúng tôi đã chứng kiến những kẻ tấn công sử dụng các công cụ hợp pháp đủ lâu để biết rằng Velociraptor sẽ không phải là công cụ mã nguồn mở, sử dụng kép đầu tiên xuất hiện trong các cuộc tấn công - cũng sẽ không phải là công cụ cuối cùng".