サイバー犯罪者は、新たに発見されたコマンド&コントロール(C2)プラットフォーム「Matrix Push C2」を使い、ウェブブラウザの機能を利用してマルウェアを配布しています。
BlackFrogによって発見されたこの悪意のあるC2プラットフォームは、偽のシステム通知でユーザーを騙し、悪意のあるサイトにリダイレクトしたり、感染したクライアントをリアルタイムで監視したり、さらには暗号通貨ウォレットをスキャンすることもあります。
11月20日に公開されたレポートで、BlackFrogはMatrix Push C2が正規のウェブブラウザのプッシュ通知システムをC2チャンネルとしてどのように悪用しているかを詳述しました。
Matrix Push C2は、まずユーザーを騙してブラウザ通知を許可させます。これは多くの場合、悪意のあるまたは侵害されたウェブサイト上でソーシャルエンジニアリングを用いて行われます。一度ユーザーが攻撃者の通知を購読すると、ブラウザを通じてそのユーザーのデスクトップやモバイルデバイスへの直接的な接続が作られます。
その後、サイバー犯罪者は、オペレーティングシステムや信頼できるソフトウェアからのものであるかのように見える正規のエラーメッセージやセキュリティ警告を送信します。
しかし、被害者がこれらの偽の通知をクリックすると、攻撃者が運営するサイト(多くの場合フィッシングページやマルウェアのダウンロードページ)に誘導されます。
BlackFrogはこの攻撃を「ファイルレス」と表現しています。なぜなら、やり取りがブラウザの通知システムを通じて行われるため、従来のマルウェアファイルが最初にシステム上に存在する必要がないからです。
Matrix Push C2プラットフォームの詳細
この攻撃は、Matrix Push C2プラットフォームが提供するウェブベースのダッシュボードを通じて指揮されます。
BlackFrogによると、この脅威は標準的なブラウザ技術を利用しているため、単一のオペレーティングシステム(Windows、Mac、Linux、Androidなど)に限定されません。
Matrix Push C2の一部であるキャンペーンダッシュボードには、アクティブなクライアントパネルが表示されます。これにより攻撃者は各被害者の詳細な情報をリアルタイムで把握できます。
「このリアルタイムのインテリジェンスこそが、Matrix Push C2を非常に危険なものにしています。攻撃者は誰かがクリックするのを期待して無差別にフィッシングメールを送るのではなく、被害者のブラウザとライブで接続しているのです」とBlackFrogは述べています。
Matrix Push C2には分析ツールやリンク管理ツールも含まれており、攻撃者は自身のキャンペーンの効果を測定し、戦術を調整することができます。
攻撃のソーシャルエンジニアリング要素として、Matrix Push C2には偽のメッセージの信頼性を最大化するための設定可能なテンプレートが用意されています。
「設定画面には、MetaMask、Netflix、Cloudflare、PayPal、TikTokなどのブランド用テンプレートがあり、それぞれがこれらのプロバイダーからの正規の通知やセキュリティページのように見えるよう設計されています」とBlackFrogのレポートは述べています。
さらに、攻撃者は(自分が管理するパスの下で)短く無害に見えるURLを生成し、それを本物の悪意のあるサイトにリダイレクトさせることができます。これによりフィルターを回避し、長くて怪しいリンクを送ることで生じる被害者の警戒心を下げることができます。
この脅威に対抗するため、BlackFrogは外部への通信をブロックすることに特化したアンチデータ流出(ADX)技術の利用を推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/browser-push-notifications-deliver/
