はじめに:新たな脅威「Matrix Push C2」
脅威の状況が進化する中、ブラウザベースのサイバー攻撃の新たな波がセキュリティ研究者BlackFogによって確認されました。その名は「Matrix Push C2」。このコマンド&コントロール(C2)フレームワークは、サイバー犯罪者がWebブラウザを配信手段として利用し、ファイルレスマルウェアやフィッシングキャンペーンを展開する手段を提供します。
Windows、Mac、Linux、およびモバイルデバイスにわたる正当な組み込み機能であるブラウザのプッシュ通知を悪用することで、Matrix Push C2は多くの従来のセキュリティ防御を迂回し、犠牲者に直接到達することが可能になります。
巧妙な攻撃手法:ブラウザプッシュ通知の悪用
Matrix Push C2の攻撃は、まずソーシャルエンジニアリングから始まります。犠牲者は、侵害された、または悪意のあるウェブサイトに誘導され、ブラウザ通知の許可を騙されて与えてしまいます。この許可が一度与えられると、攻撃者は犠牲者のブラウザへの永続的な通信チャネルを獲得し、自由に悪意のあるメッセージをプッシュできるようになります。
これらの通知は、正規のシステムアラートやソフトウェア警告を模倣し、信頼されたブランド、おなじみのアイコン、説得力のある言葉遣いを悪用します。例えば、「データ損失を避けるためにChromeを更新してください」というポップアップは、ブラウザアップデートを装ったトロイの木馬ダウンローダーへとシームレスに誘導します。
攻撃の初期段階は純粋にブラウザ通知に依存するため、従来のマルウェアファイルは最初には必要ありません。これは典型的なファイルレス技術です。ユーザーは、デスクトップやモバイルデバイスに正規のアラートが表示されていると誤解し、攻撃者によって制御されるフィッシングページやマルウェアのドロッパーをうっかりクリックしてしまう可能性があります。
「Matrix Push C2」コマンドセンターの機能
Matrix Push C2の中心にあるのは、悪意のある操作に特化した洗練されたWebベースのダッシュボードです。このコマンドセンターでは、攻撃者がキャンペーンをオーケストレーションし、感染したブラウザをリアルタイムで監視し、配信戦術を微調整することができます。
プラットフォームのキャンペーンパネルには、「総クライアント数」や通知配信率などの指標が表示され、あらゆるオペレーティングシステム上のあらゆるブラウザへの完全なクロスプラットフォームリーチを反映しています。攻撃者は、どのユーザーが通知を受け取り、それらとやり取りし、フィッシングリンクをクリックしたかを追跡でき、さらに暗号通貨ウォレットの拡張機能やデバイスタイプのためにブラウザをフィンガープリントすることも可能です。
ブランド模倣と分析機能
Matrix Push C2はソーシャルエンジニアリングに優れており、MetaMask、Netflix、Cloudflare、PayPal、TikTokなど、主要なブランドを模倣したテーマ別の通知テンプレートを攻撃者に提供します。これらの事前に設計されたメッセージは、CloudflareのセキュリティチェックやPayPalのログインアラートを装うなどして、ユーザーの信頼を悪用します。
メッセージは正規のシステムアラートやアプリのアラートと同じ通知領域に表示されるため、犠牲者は脅威が本物で緊急であると騙されることがよくあります。
また、攻撃者はMatrix Push C2を使用することで、堅牢な分析機能と、悪意のあるリンク用の組み込みURL短縮機能の恩恵を受けます。これにより、フィッシングやマルウェア配信URLを、無害に見える短縮リンクの下に偽装し、フィルタリングメカニズムを回避し、疑念を軽減できます。ダッシュボードはすべてのクリックを追跡し、どの戦術が最も効果的で、どのターゲットが最も脆弱であるかをリアルタイムで評価することを可能にします。
対策:身を守るために
Matrix Push C2は、ソーシャルエンジニアリングとブラウザ悪用の顕著な進化を示しています。ブラウザのネイティブ機能を介して動作するため、多くのエンドポイント保護ソリューションを迂回します。攻撃者が永続的な通知アクセスを獲得すると、攻撃をエスカレートさせ、資格情報を盗み、永続的なマルウェアを植え付け、あるいはブラウザウォレットから直接暗号通貨を吸い上げることさえ可能になります。
このような攻撃から身を守るためには、以下の点に注意してください。
- 特に緊急の言葉や警告ポップアップを使用しているウェブページからの通知許可要求には注意してください。
- セキュリティ対策を促すブラウザ通知は、信頼できる情報源からのものであり、ブラウザ外で検証できる場合を除き、クリックしないでください。
- セキュリティチームは、ブラウザ通知ポリシーを検討し、ユーザーにこの新しい脅威ベクトルについて教育する必要があります。
ファイルレス、ブラウザ駆動型攻撃の時代において、精査とサイバーセキュリティ意識は最も重要です。Matrix Push C2は、サイバー犯罪における危険な新トレンドの始まりに過ぎません。