TokyoBlackHatNews

darkreading.com 4分で読了

「Matrix Push」C2ツールがブラウザ通知をフィッシングに悪用

サイバー犯罪者は、あなたのブラウザのアラートをフィッシング攻撃の手段に変えるための新しい使いやすいツールを手に入れました。

「Matrix Push」は洗練されていて見た目も良く、市販のソフトウェアと同じくらい簡単に使えます。残念ながら、これはブラウザを通じて人々にマルウェアを感染させるためのコマンド&コントロール(C2)フレームワークです。BlackFogの新しいレポートによると、レトロなターミナル風のインターフェースから、ハッカーは被害者の正規のブラウザから送信される通知をデザインできますが、実際には悪意のあるウェブサイトへ誘導します。

攻撃者は、PayPalから送信されたように見える異常なログイン警告や、MetaMaskからのセキュリティアラート、Cloudflareからの偽のエラーメッセージなどを自由にブラウザユーザーに送信できます。Matrix Pushには、これらすべてのブランドに加え、TikTok、Netflixなどを模倣した通知およびランディングページのテンプレートがあらかじめ組み込まれています。

さらにMatrix Pushのダッシュボードから、攻撃者は到達した被害者の総数、所在地、IPアドレス、ブラウザやオペレーティングシステム(OS)の種類とバージョン、使用した暗号通貨ウォレットなど、さまざまな有用なデータを追跡できます。そして最終的にはC2フレームワークであるため、被害者がオンラインかどうか、偽の通知を最近見たかどうかなど、さまざまなリアルタイム情報も提供されます。このリアルタイムデータにより、攻撃者は被害者が偽のアラートに反応しやすいタイミングで攻撃を仕掛けることができます。

ブラウザ通知をフィッシングに悪用

攻撃者にとってMatrix Pushを使う上で最も難しいのは、最初にユーザーにそれを有効化させることです。

ソーシャルエンジニアリングやその他必要な手段を通じて、攻撃者はユーザーを自分たちが管理する秘密裏に悪意のある、または侵害されたウェブサイトに誘導する必要があります。そして、正規のサイトと同様に、その悪意のあるサイトはブラウザの通知アプリケーションプログラミングインターフェース(API)を使って、被害者にプッシュ通知の送信許可を求めます。

ユーザーがこの許可を与えると、悪意のあるサイトはサービスワーカーを登録し、Push APIのサブスクリプションを作成し、そのデータをMatrix Pushのコマンド&コントロール(C2)ツールに送信します。そして、これらのAPIやプロセスは主要なブラウザすべてで標準化されているため、Matrix Pushは被害者がどのブラウザやOSから接続しても同様に機能します。

これらすべてが整うと、攻撃者はブラウザのネイティブ通知機能を通じて、警告を発することなく被害者にフィッシングメッセージを送り込むことができます。

「ブラウザはこの挙動を許可しています。なぜなら、ユーザーが明示的に通知の許可を与えており、使用されているAPIも完全に正規のものだからです」とBlackFogの創設者兼CEOであるダレン・ウィリアムズ氏は説明します。「通知は通常の暗号化されたプッシュトラフィックを使い、ブラウザベンダーのプッシュサービスを通じて配信されるため、悪意のあるバイナリやエクスプロイトは関与しません。セキュリティツールも、この活動は日常的なウェブサイト通知と全く同じに見えるため、通常は警告を出しません。唯一の悪意のある要素はメッセージの内容やリンク先であり、それらは従来の検出が追いつかないほど素早く変化する可能性があります。」

誰でも使える柔軟なサブスクリプション型フィッシング

Matrix Pushは、先月初めにTelegramチャンネルやダークウェブフォーラムに登場したばかりのようです。現在、サイバー犯罪の地下市場で階層型のサブスクリプション料金モデルで販売されています:1か月あたり暗号通貨で150ドル、3か月で405ドル、6か月で765ドル、1年で1,500ドルです。

開発者は英語で、金銭目的の脅威アクター向けに宣伝しており、ウィリアムズ氏は「特定の地域やコミュニティではなく、幅広い国際的なサイバー犯罪者層を対象としていることを示唆しています。柔軟でプラットフォーム非依存であるため、認証情報の窃取、決済詐欺、暗号通貨詐欺、その他大規模なソーシャルエンジニアリングキャンペーンを狙うアクターに好まれる可能性が高いですが、明確な被害者パターンはまだ現れていません。」と述べています。

ウィリアムズ氏は、Matrix Pushのような巧妙なツールを阻止するには、ブラウザ開発者、セキュリティベンダー、ネットワーク管理者、ユーザーの協調した取り組みが必要だと考えています。

「ブラウザ開発者は、評判システムや、騒がしい・疑わしいサイトの許可を自動的に取り消す機能、高リスクな通知リクエストへのより明確な警告など、より強力な悪用防止策を実装できます」と彼は述べ、「セキュリティ製品は、既知のMatrix Pushインフラの検出とブロック、企業向けにWebプッシュを無効化または制限するオプションの提供などで支援できます。ユーザーや管理者も、不要な通知許可を避け、知らない・信頼できないサイトからの許可を定期的に見直し削除することで重要な役割を果たします。」

翻訳元: https://www.darkreading.com/threat-intelligence/matrix-push-c2-tool-hijacks-browser-notifications-phishing

ソース: darkreading.com
#2FAフィッシング #AIサイバー犯罪 #AIマルウェア #IMAPコマンドアンドコントロール #Matrix Push #サイバーセキュリティ対策 #ソーシャルエンジニアリング #ダークウェブ #ブラウザ通知 #暗号通貨詐欺

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開