Các đối tượng xấu đang lợi dụng thông báo trình duyệt như một phương tiện cho các cuộc tấn công lừa đảo (phishing) để phát tán các liên kết độc hại thông qua nền tảng command-and-control (C2) mới có tên Matrix Push C2.
"Framework không file, chạy trên trình duyệt này tận dụng các thông báo đẩy (push notifications), cảnh báo giả mạo và chuyển hướng liên kết để nhắm mục tiêu vào nạn nhân trên các hệ điều hành," nhà nghiên cứu Brenda Robb của Blackfog cho biết trong một báo cáo hôm thứ Năm.
Trong các cuộc tấn công này, các mục tiêu tiềm năng bị lừa cho phép thông báo trình duyệt thông qua kỹ thuật xã hội (social engineering) trên các trang web độc hại hoặc các trang hợp pháp nhưng đã bị xâm nhập.
Một khi người dùng đồng ý nhận thông báo từ trang web, những kẻ tấn công sẽ lợi dụng cơ chế thông báo đẩy web (web push notification) được tích hợp sẵn trong trình duyệt web để gửi các cảnh báo trông giống như được gửi từ hệ điều hành hoặc chính trình duyệt, sử dụng thương hiệu đáng tin cậy, logo quen thuộc và ngôn ngữ thuyết phục để duy trì sự lừa dối.
Các cảnh báo này bao gồm, chẳng hạn, thông báo về đăng nhập đáng ngờ hoặc cập nhật trình duyệt, cùng với một nút "Verify" hoặc "Update" tiện lợi mà khi nhấp vào, sẽ đưa nạn nhân đến một trang web giả mạo.
Điều làm cho đây trở thành một kỹ thuật khéo léo là toàn bộ quá trình diễn ra thông qua trình duyệt mà không cần phải lây nhiễm hệ thống của nạn nhân trước đó bằng các phương tiện khác. Theo một cách nào đó, cuộc tấn công này giống như ClickFix, ở chỗ người dùng bị dụ dỗ làm theo các hướng dẫn nhất định để tự mình xâm phạm hệ thống của họ, từ đó bỏ qua hiệu quả các biện pháp kiểm soát an ninh truyền thống.
Chưa hết. Vì cuộc tấn công diễn ra thông qua trình duyệt web, đây cũng là một mối đe dọa đa nền tảng. Điều này biến bất kỳ ứng dụng trình duyệt nào trên bất kỳ nền tảng nào đăng ký nhận thông báo độc hại đều có thể được đưa vào nhóm máy khách, cung cấp cho kẻ thù một kênh liên lạc bền vững.
Matrix Push C2 được cung cấp như một bộ công cụ malware-as-a-service (MaaS) cho các tác nhân đe dọa khác. Nó được bán trực tiếp thông qua các kênh tội phạm mạng, thường là qua Telegram và các diễn đàn tội phạm mạng, theo mô hình đăng ký theo bậc: khoảng 150 USD cho một tháng, 405 USD cho ba tháng, 765 USD cho sáu tháng và 1.500 USD cho một năm đầy đủ.
"Thanh toán được chấp nhận bằng cryptocurrency và người mua liên hệ trực tiếp với nhà điều hành để được cấp quyền truy cập," Tiến sĩ Darren Williams, người sáng lập và CEO của BlackFog, nói với The Hacker News. "Matrix Push lần đầu tiên được quan sát vào đầu tháng 10 và đã hoạt động kể từ đó. Không có bằng chứng về các phiên bản cũ hơn, thương hiệu trước đó hoặc cơ sở hạ tầng lâu đời. Mọi thứ cho thấy đây là một bộ công cụ mới ra mắt."
Công cụ này có thể truy cập dưới dạng một dashboard dựa trên web, cho phép người dùng gửi thông báo, theo dõi từng nạn nhân theo thời gian thực, xác định những thông báo nào nạn nhân đã tương tác, tạo các liên kết rút gọn bằng dịch vụ rút gọn URL tích hợp, và thậm chí ghi lại các tiện ích mở rộng trình duyệt đã cài đặt, bao gồm cả ví cryptocurrency.
"Cốt lõi của cuộc tấn công là kỹ thuật xã hội (social engineering), và Matrix Push C2 được trang bị các mẫu có thể cấu hình để tối đa hóa độ tin cậy của các tin nhắn giả mạo," Robb giải thích. "Kẻ tấn công có thể dễ dàng thiết kế các thông báo lừa đảo (phishing) và trang đích của họ để mạo danh các công ty và dịch vụ nổi tiếng."
Một số mẫu xác minh thông báo được hỗ trợ liên quan đến các thương hiệu nổi tiếng như MetaMask, Netflix, Cloudflare, PayPal và TikTok. Nền tảng này cũng bao gồm một phần "Analytics & Reports" cho phép khách hàng đo lường hiệu quả của các chiến dịch và tinh chỉnh chúng khi cần thiết.
"Matrix Push C2 cho chúng ta thấy một sự thay đổi trong cách kẻ tấn công giành được quyền truy cập ban đầu và cố gắng khai thác người dùng," BlackFog cho biết. "Một khi điểm cuối (endpoint) của người dùng (máy tính hoặc thiết bị di động) là mục tiêu, kẻ tấn công có thể dần dần leo thang cuộc tấn công."
"Họ có thể gửi thêm các tin nhắn lừa đảo (phishing) để đánh cắp thông tin đăng nhập, lừa người dùng cài đặt một phần mềm độc hại (malware) dai dẳng hơn, hoặc thậm chí tận dụng các khai thác (exploits) trình duyệt để kiểm soát sâu hơn hệ thống. Cuối cùng, mục tiêu cuối cùng thường là đánh cắp dữ liệu hoặc kiếm tiền từ quyền truy cập, ví dụ, bằng cách rút sạch ví cryptocurrency hoặc trích xuất thông tin cá nhân."
Các cuộc tấn công lạm dụng Velociraptor đang gia tăng
Sự phát triển này diễn ra khi Huntress cho biết họ đã quan sát thấy "sự gia tăng đáng kể" trong các cuộc tấn công vũ khí hóa công cụ pháp y kỹ thuật số và phản ứng sự cố (DFIR) hợp pháp Velociraptor trong ba tháng qua.
Vào ngày 12 tháng 11 năm 2025, nhà cung cấp an ninh mạng này cho biết các tác nhân đe dọa đã triển khai Velociraptor sau khi giành được quyền truy cập ban đầu thông qua việc khai thác một lỗ hổng trong Windows Server Update Services (CVE-2025-59287, điểm CVSS: 9.8), đã được Microsoft vá lỗi vào cuối tháng trước.
Sau đó, kẻ tấn công được cho là đã khởi chạy các truy vấn khám phá (discovery queries) với mục tiêu tiến hành trinh sát (reconnaissance) và thu thập thông tin chi tiết về người dùng, các dịch vụ đang chạy và cấu hình. Cuộc tấn công đã được ngăn chặn trước khi nó có thể tiến xa hơn, Huntress cho biết thêm.
Khám phá này cho thấy các tác nhân đe dọa không chỉ sử dụng các C2 frameworks tùy chỉnh, mà còn đang sử dụng các công cụ an ninh mạng tấn công và phản ứng sự cố có sẵn để làm lợi thế cho mình.
"Chúng tôi đã thấy các tác nhân đe dọa sử dụng các công cụ hợp pháp đủ lâu để biết rằng Velociraptor sẽ không phải là công cụ mã nguồn mở (open-source) đa mục đích đầu tiên xuất hiện trong các cuộc tấn công – và cũng sẽ không phải là cuối cùng," các nhà nghiên cứu của Huntress cho biết.
