Duy Linh
Writer
Bạn đã bao giờ dừng lại hai giây để nghĩ về một thông báo bật lên trên trình duyệt? Nếu câu trả lời là “chưa”, đó chính là điểm yếu mà các nhóm lừa đảo đang tận dụng triệt để.
Theo BlackFog, tội phạm mạng hiện có một công cụ mới giúp biến các cảnh báo quen thuộc thành bẫy tấn công ngay trong trình duyệt của bạn. “Matrix Push” trông đẹp mắt, mượt mà không khác gì phần mềm thương mại, nhưng thực chất là nền tảng chỉ huy – kiểm soát (C2) chuyên phát tán mã độc thông qua trình duyệt. Từ giao diện giống thiết bị đầu cuối cổ điển, kẻ tấn công có thể tạo các thông báo tưởng như đến từ trình duyệt hợp pháp, nhưng lại dẫn nạn nhân tới trang độc hại.
Công cụ này tích hợp sẵn các mẫu cảnh báo giả danh PayPal, MetaMask, Cloudflare, TikTok, Netflix… Từ bảng điều khiển, kẻ tấn công theo dõi được tổng số nạn nhân, vị trí, IP, loại trình duyệt, hệ điều hành, ví tiền điện tử đã dùng và trạng thái trực tuyến theo thời gian thực. Những dữ liệu này giúp chúng gửi thông báo lừa đảo đúng thời điểm người dùng dễ tương tác nhất.
Khi nạn nhân cho phép, trang web độc hại đăng ký service worker, tạo đăng ký Push API và gửi dữ liệu này về hệ thống C2 Matrix Push. Do quy trình và API đều tiêu chuẩn trên các trình duyệt phổ biến, công cụ này hoạt động trơn tru bất kể nạn nhân dùng trình duyệt hay hệ điều hành nào.
Một khi quyền đã được cấp, tin tặc có thể thoải mái gửi thông báo lừa đảo qua chính hệ thống thông báo gốc của trình duyệt mà không bị công cụ bảo mật phát hiện. Thông báo được gửi qua kênh mã hóa hợp lệ, giống hệt website thông thường, khiến các hệ thống phòng vệ khó phân biệt.
Theo Williams, việc ngăn chặn yêu cầu sự phối hợp giữa nhà phát triển trình duyệt, nhà cung cấp bảo mật, quản trị mạng và chính người dùng. Trình duyệt cần áp dụng hệ thống danh tiếng, thu hồi quyền thông báo với trang đáng ngờ và hiển thị cảnh báo rõ ràng hơn. Công cụ bảo mật có thể chặn hạ tầng Matrix Push, cho phép doanh nghiệp vô hiệu hóa Web Push. Người dùng và quản trị viên cần thường xuyên xem lại quyền thông báo và từ chối các yêu cầu không cần thiết.
Theo BlackFog, tội phạm mạng hiện có một công cụ mới giúp biến các cảnh báo quen thuộc thành bẫy tấn công ngay trong trình duyệt của bạn. “Matrix Push” trông đẹp mắt, mượt mà không khác gì phần mềm thương mại, nhưng thực chất là nền tảng chỉ huy – kiểm soát (C2) chuyên phát tán mã độc thông qua trình duyệt. Từ giao diện giống thiết bị đầu cuối cổ điển, kẻ tấn công có thể tạo các thông báo tưởng như đến từ trình duyệt hợp pháp, nhưng lại dẫn nạn nhân tới trang độc hại.
Công cụ này tích hợp sẵn các mẫu cảnh báo giả danh PayPal, MetaMask, Cloudflare, TikTok, Netflix… Từ bảng điều khiển, kẻ tấn công theo dõi được tổng số nạn nhân, vị trí, IP, loại trình duyệt, hệ điều hành, ví tiền điện tử đã dùng và trạng thái trực tuyến theo thời gian thực. Những dữ liệu này giúp chúng gửi thông báo lừa đảo đúng thời điểm người dùng dễ tương tác nhất.
Cách Matrix Push lợi dụng thông báo trình duyệt
Điều khó nhất với tin tặc là khiến người dùng kích hoạt thông báo ngay từ đầu. Thông qua kỹ thuật xã hội hoặc chuyển hướng sang trang web độc hại, chúng yêu cầu quyền gửi thông báo giống bất kỳ trang hợp pháp nào.Khi nạn nhân cho phép, trang web độc hại đăng ký service worker, tạo đăng ký Push API và gửi dữ liệu này về hệ thống C2 Matrix Push. Do quy trình và API đều tiêu chuẩn trên các trình duyệt phổ biến, công cụ này hoạt động trơn tru bất kể nạn nhân dùng trình duyệt hay hệ điều hành nào.
Một khi quyền đã được cấp, tin tặc có thể thoải mái gửi thông báo lừa đảo qua chính hệ thống thông báo gốc của trình duyệt mà không bị công cụ bảo mật phát hiện. Thông báo được gửi qua kênh mã hóa hợp lệ, giống hệt website thông thường, khiến các hệ thống phòng vệ khó phân biệt.
Dịch vụ lừa đảo dạng đăng ký và thách thức phòng thủ
Theo BlackFog, Matrix Push chỉ mới xuất hiện trên Telegram và các diễn đàn dark web từ đầu tháng trước. Hiện nó đang được rao bán với mô hình thuê bao:- 150 USD/ tháng
- 405 USD/ 3 tháng
- 765 USD/ 6 tháng
- 1.500 USD/ năm
Theo Williams, việc ngăn chặn yêu cầu sự phối hợp giữa nhà phát triển trình duyệt, nhà cung cấp bảo mật, quản trị mạng và chính người dùng. Trình duyệt cần áp dụng hệ thống danh tiếng, thu hồi quyền thông báo với trang đáng ngờ và hiển thị cảnh báo rõ ràng hơn. Công cụ bảo mật có thể chặn hạ tầng Matrix Push, cho phép doanh nghiệp vô hiệu hóa Web Push. Người dùng và quản trị viên cần thường xuyên xem lại quyền thông báo và từ chối các yêu cầu không cần thiết.
Nguồn: Darkreading
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
