Matrix Push：一種新型C2工具如何劫持瀏覽器通知進行網路釣魚

網路安全公司 BlackFog 報告稱，他們發現了一種名為「Matrix Push」的新型命令與控制 (C2) 框架，該框架利用了瀏覽器推播通知功能。

Matrix Push 使用服務工作執行緒和推播 API 提供通知範本和登入頁面，模仿 PayPal、MetaMask、Cloudflare、TikTok 和 Netflix 等品牌，偽裝成合法的瀏覽器通知，並將使用者引導至釣魚網站。

攻擊者可以在控制台上即時查看受害者的 IP 位址、位置資訊、瀏覽器和作業系統類型及版本，以及已安裝的加密貨幣錢包擴充程式的類型。 Matrix Push 使用所有主流瀏覽器通用的機制，因此無論使用何種瀏覽器或作業系統，其功能都相同。該服務在暗網上以訂閱模式提供，起價為每月 150 美元（以加密貨幣支付）（例如，3 個月 405 美元，6 個月 765 美元，或 1 年 1500 美元）。

從： “Matrix Push”C2工具劫持瀏覽器通知

【社論】

Matrix Push 並非漏洞，而是現實的體現：我們正生活在一個合法的瀏覽器通知功能可能被挪用為攻擊基礎設施的時代。 Service Worker 和推送 API 是支撐 PWA 和即時通知等現代 Web 體驗的核心技術，但它們的預設行為也為攻擊者提供了隱藏攻擊的機會。

傳統網路釣魚依賴用戶打開可疑網站的那一刻。而 Matrix Push 一旦獲得接收通知的權限，即使瀏覽器關閉，也能繼續以作業系統層級通知的形式發送虛假警報。此外，由於它可以追蹤 IP 位址、線上狀態，甚至是虛假通知的檢視時間，因此可以像行銷自動化一樣，精準定位「用戶可能做出反應的時刻」。

另一方面，這種結構也揭示了網路通知潛力的另一面。從用戶體驗的角度來看，瀏覽器本身無需安裝即可成為“具有通知功能的應用程式”，這無疑極具吸引力。然而，隨著行為歷史記錄和即時性的積累，Matrix Push 等工具就越容易創建「可信的上下文」。我們已經到了這樣一個階段：通知的設計需要同時兼顧使用者體驗和安全性。

瀏覽器廠商需要採取更強有力的措施，例如建立信譽系統、自動撤銷「惡意/可疑網站」的權限，以及針對高風險通知請求發出額外警告。企業也需要盡快發展以策略為基礎的企業環境網路推播限制和稽核方案。

對於個人使用者而言，養成一些小習慣，例如定期檢查已允許接收通知的網站，並拒絕接收那些原本就無用的通知，是抵禦 Matrix Push 攻擊的第一道防線。您可以按照以下步驟檢查和管理瀏覽器的通知設定。

• Google瀏覽器：設定 > 隱私權與安全性 > 網站設定 > 通知
• Mozilla Firefox：設定 > 隱私與安全 > 權限 > 通知 > 設定
• Microsoft Edge：設定 > Cookie 與網站權限 > 通知

閱讀完本文後，請檢查您的瀏覽器設定。

[術語]

指揮與控制（C2）
這是一個通用術語，指的是允許攻擊者向感染惡意軟體的裝置發送命令並遠端控制這些裝置的伺服器和系統。

服務人員
這是一個在瀏覽器後台運行的腳本，用於啟用離線快取、推播通知等功能。

推送 API / Web 推送
它是一組標準 API，允許網站向用戶的瀏覽器發送推播通知，並在主要瀏覽器中作為通用規範實作。

瀏覽器通知
這些是網站使用瀏覽器或作業系統的通知功能顯示的訊息，並在獲得用戶許可後以彈出視窗或橫幅的形式顯示。

社會工程<br>利用人類心理和行為中的弱點來欺騙和獲取資訊或權力的攻擊技術的總稱。

網路釣魚<br>一種攻擊，攻擊者偽裝成合法服務或公司，將您引導至虛假網站或通知，以竊取身份驗證資訊、金錢、加密貨幣等。

[參考連結]

BlackFog （外部）
這是某保全公司的官方網站，該公司專門從事終端保護，提供勒索軟體應對措施和資料外洩防護。

MDN Web 文件 – 推送 API （外部）
這是一份面向開發人員的文檔，解釋了 Web Push 的標準規範、用法和瀏覽器相容性，有助於理解 Push API 的技術背景。

[參考文章]

新型 Matrix Push C2 濫用推播通知傳播惡意軟體（外部連結）
它詳細介紹了 Matrix Push C2 的組成部分、濫用 Push API 和服務工作線程的攻擊鏈、訂閱價格以及收集的受害者資料類型。

駭客部署新型矩陣推送C2伺服器發動惡意軟體和網路釣魚攻擊（外部連結）
本文聚焦於 Telegram 和暗網上的分發情況、以經濟利益為目的的威脅行為者的使用場景，以及利用社會工程手段取得通知權限的過程。

駭客採用 Matrix Push C2 進行基於瀏覽器的惡意軟體和網路釣魚攻擊（外部連結）
該報告將其與現有的網路釣魚即服務活動進行了比較，概述了透過瀏覽器通知分發惡意軟體和竊取憑證的活動範例，以及防禦者所需的應對措施。

[編者註]

對於瀏覽器通知，我們往往只是點擊“暫時允許”，但 Matrix Push 事件讓我再次意識到，從那一刻起，我們有可能正在和攻擊者查看同一個螢幕。

如果您願意，讀完本文後，不妨花點時間查看您瀏覽器中目前允許接收通知的網站清單。哪些服務最吸引您的注意力，花費的時間也最多？稍微調整一下設置，您應該就能更清楚地了解自己每天與數位科技的互動方式。