Matrix Push C2: Khi thông báo trình duyệt trở thành công cụ tấn công mới của tội phạm

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.282 bài viết
Matrix Push C2: Khi thông báo trình duyệt trở thành công cụ tấn công mới của tội phạm
WhiteHat Team
Trong những tháng gần đây, giới an ninh mạng ghi nhận một xu hướng tấn công mới, kẻ xấu lợi dụng thông báo trình duyệt để phát tán liên kết độc hại mà không cần cài mã độc lên máy nạn nhân. Tâm điểm của xu hướng này là Matrix Push C2, một nền tảng điều khiển và phát tán hoàn toàn chạy trên trình duyệt, đang được tội phạm mạng bán theo mô hình malware-as-a-service.

1763975875885.png
Điểm nguy hiểm nhất của Matrix Push C2 nằm ở chỗ mọi thứ diễn ra trong trình duyệt, không cần file độc hại, không cần cài đặt, không cần lỗ hổng. Quá trình bao gồm:
  1. Nạn nhân bị dẫn tới trang web giả mạo hoặc trang hợp pháp bị tấn công.
  2. Trang hiển thị cửa sổ “Allow Notifications” với nội dung lừa đảo, như “Bấm Allow để tải video”, “Nhấn Allow để mở khóa nội dung”.
  3. Khi người dùng đồng ý, kẻ tấn công sẽ gửi thông báo đẩy trông giống hệt cảnh báo hệ thống:
    • “Phát hiện đăng nhập bất thường - Verify now”
    • “Your browser is out of date - Update now”
  4. Người dùng nhấn vào các nút “Verify/Update” và bị điều hướng đến trang lừa đảo đánh cắp thông tin đăng nhập ngân hàng, email, ví crypto…
Toàn bộ quá trình dựa hoàn toàn vào kỹ thuật social engineering, khiến người dùng chủ động thực hiện chuỗi hành vi gây nguy hiểm mà không hề nhận ra.

Matrix Push C2: Hệ thống C2 chạy trong trình duyệt, bán theo gói dịch vụ

Khác với các C2 truyền thống cần host máy chủ, mã độc và thiết lập mạng lưới botnet, Matrix Push C2 hoạt động dưới dạng dashboard web, dễ sử dụng với người có ít kỹ năng kỹ thuật. Nền tảng cung cấp cho tội phạm:
  • Gửi thông báo tùy chỉnh theo template (Netflix, PayPal, MetaMask, TikTok…)
  • Theo dõi nạn nhân theo thời gian thực và xem ai đã bấm vào thông báo
  • Tạo link rút gọn bằng dịch vụ URL-shortening tích hợp
  • Thu thập thông tin trình duyệt nạn nhân như extension cài đặt, ví crypto
Đáng chú ý, bộ công cụ được bán theo dạng đăng ký: 150 USD/tháng hoặc 1.500 USD/năm, thanh toán bằng crypto qua Telegram. BlackFog cho biết nền tảng này chỉ mới xuất hiện từ tháng 10/2025 nhưng đang lan nhanh nhờ dễ dùng, khó bị phát hiện và tỉ lệ thành công cao.

Vì sao cuộc tấn công này nguy hiểm?

1. Fileless – không có mã độc để quét
Antivirus gần như không phát hiện được vì trình duyệt là thành phần hợp lệ.

2. Cross-platform – tấn công được mọi hệ điều hành
Chrome, Firefox, Edge, Safari… máy tính hay điện thoại đều bị ảnh hưởng.

3. Tồn tại lâu dài
Khi đã cấp quyền thông báo, nạn nhân tiếp tục nhận thông báo dù đã tắt trang web.

4. Tỉ lệ lừa thành công cao
Thông báo mang logo Netflix, PayPal, Cloudflare khiến nạn nhân tin tưởng hơn cả email.

Sự gia tăng tấn công bằng công cụ hợp pháp: Velociraptor trở thành mục tiêu

Song song với Matrix Push C2, Huntress cũng cảnh báo về việc tội phạm mạng ngày càng thích dùng công cụ hợp pháp trong quá trình tấn công, như Velociraptor - công cụ DFIR mã nguồn mở.

Trong một vụ gần đây, kẻ tấn công đã xâm nhập hệ thống thông qua lỗ hổng trong Windows Server Update Services (CVE-2025-59287, CVSS 9,8), sau đó triển khai Velociraptor để thu thập thông tin người dùng, dịch vụ đang chạy và cấu hình hệ thống. May mắn, vụ việc đã được ngăn chặn trước khi tiến xa hơn, nhưng nó cho thấy ranh giới giữa công cụ phòng thủ và công cụ tấn công ngày càng mờ nhạt.

Các chuyên gia an ninh mạng khuyến cáo người dùng:​

  • Không bao giờ bấm “Allow Notifications” trên trang lạ.
  • Kiểm tra và tắt thông báo từ các trang đáng ngờ trong cài đặt trình duyệt.
  • Luôn truy cập trực tiếp vào dịch vụ (ngân hàng, PayPal, Netflix) thay vì bấm vào thông báo.
  • Doanh nghiệp nên bật chính sách chặn thông báo web trên trình duyệt nội bộ.
  • Cập nhật hệ điều hành và trình duyệt để tránh các lỗ hổng bị khai thác cùng lúc.
  • Áp dụng kiểm soát truy cập, giám sát hành vi để phát hiện sớm dấu hiệu bất thường.
Matrix Push C2 cho thấy tội phạm mạng không cần dùng mã độc tinh vi mới có thể chiếm quyền người dùng, đôi khi chỉ cần lạm dụng một tính năng hợp pháp như thông báo web. Sự xuất hiện của nền tảng này và việc các công cụ hợp pháp như Velociraptor bị tái sử dụng trong tấn công cho thấy rủi ro ngày càng khó nhận diện hơn.

Trước một môi trường đe dọa thay đổi liên tục, phòng thủ hiệu quả nhất vẫn là cảnh giác với mọi tương tác trên trình duyệt, không cấp quyền tùy tiện và thường xuyên cập nhật hệ thống.
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • FortiWeb bị tấn công: Khi “lá chắn” an ninh mạng trở thành điểm yếu chí tử
  • Những con số ác mộng khi cả Internet phụ thuộc vào Cloudflare
  • Lỗ hổng Triofox biến công cụ antivirus thành vũ khí cho tin tặc
  • Cài đặt ngay bản cập nhật để sửa lỗi mã hóa end-to-end trong Matrix
  • Gần một triệu máy điện thoại Android bị lây nhiễm Ghost Push
  • Gần một triệu máy điện thoại Android bị lây nhiễm Ghost Push
    • Thẻ
    malware malware-as-a-service matrix push c2
    Bên trên