Matrix Push C2: Unsichtbare Phishing-Welle über Browser-Benachrichtigungen : Neue dateilose Angriffsform bedroht alle Betriebssysteme gleichzeitig
Ein neu auftauchendes Command-and-Control-Framework nutzt Browser-Benachrichtigungen für täuschend echte Phishing-Angriffe – vollständig dateilos, plattformübergreifend und als Malware-as-a-Service für Cyberkriminelle verfügbar. Die Methode bietet hohe Tarnung, dauerhafte Persistence und eindrucksvolle Erfolgsquoten.
Mit Matrix Push C2 etabliert sich ein neuartiger Angriffsweg, der den Browser selbst zum Ausgangspunkt für Phishing-Kampagnen macht. Laut der Sicherheitsanalystin Brenda Robb ist das System „browser-nativ, dateilos und nutzt Push-Benachrichtigungen, falsche Warnmeldungen und Link-Weiterleitungen“. Opfer werden über manipulierte oder kompromittierte Webseiten dazu verleitet, Browser-Benachrichtigungen zuzulassen.
Ein neuer, unsichtbarer Angriffsvektor im Browser
Sobald ein Nutzer den Benachrichtigungen der Seite zustimmt, nutzen die Angreifer den Web-Push-Mechanismus aus, der direkt im Browser integriert ist: Sie schicken Benachrichtigungen, die aussehen, als würden sie direkt vom Betriebssystem oder vom Browser stammen – inklusive vertrauter Logos und überzeugend formulierter Hinweise. Die vermeintlichen Warnungen reichen von „verdächtigen Logins“ bis hin zu „wichtigen Browser-Updates“. Ein Klick auf „Verify“ oder „Update“ führt jedoch sofort auf eine präparierte, gefälschte Seite.
Der besondere Trick: Der gesamte Ablauf findet ohne vorherige Systeminfektion statt. Der Angriff erinnert an das bekannte ClickFix-Prinzip, da Nutzer durch täuschend echte Anweisungen sich selbst kompromittieren und klassische Schutzmechanismen umgehen.
Plattformübergreifend und hochgradig skalierbar
Da alles über den Browser läuft, funktioniert Matrix Push C2 auf nahezu allen Geräten – vom mobilen Endgerät bis zum Desktop. Jedes System, das die schädlichen Benachrichtigungen abonniert, wird zu einem dauerhaften Kommunikationspunkt für die Angreifer.
Das Kit wird als Dienstangebot an andere Täter verkauft. Der Preis folgt einem gestaffelten Abo-Modell: Von 150 Dollar für einen Monat bis 1.500 Dollar für ein ganzes Jahr. Zahlungen erfolgen ausschließlich in Kryptowährung.
„Matrix Push wurde Anfang Oktober zum ersten Mal entdeckt und ist seitdem aktiv. Alles deutet darauf hin, dass dieses Kit komplett neu auf dem Markt ist“, erklärte Darren Williams.
Über ein webbasiertes Dashboard können die Angreifer ihre Kampagnen bequem steuern: Sie versenden Notifications, beobachten in Echtzeit, wie die Opfer reagieren, und lesen sogar installierte Browser Extensions aus – darunter auch Kryptowährungs-Wallets.
Besonders gefährlich sind die fertigen Templates, die bekannte Marken wie MetaMask, Netflix, Cloudflare, PayPal oder TikTok täuschend echt nachahmen. „Der gesamte Angriff basiert auf Social Engineering, und Matrix Push C2 bietet eine Vielzahl an anpassbaren Templates, welche die Fake-Meldungen maximal glaubwürdig wirken lassen“, sagte Robb.
Stufenweise Eskalation bis zum Identitätsdiebstahl
Nachdem die erste Täuschung funktioniert hat, hören die Angreifer nicht auf. Sie können weitere Phishing-Nachrichten schicken, die Opfer zur Installation noch hartnäckigerer Malware drängen oder bekannte Browser-Schwachstellen ausnutzen, um sich tieferen Zugriff auf das Gerät zu verschaffen. Am Ende läuft alles auf dasselbe Ziel hinaus: Daten stehlen und daraus Profit schlagen – zum Beispiel, indem sie Kryptowährungs-Wallets leeren.
Paralleltrend: Missbrauch legitimer Werkzeuge
Während Matrix Push C2 als spezialisiertes Command-and-Control-System auftritt, zeigt sich parallel ein anderer beunruhigender Trend: Angreifer missbrauchen immer häufiger vollkommen legale Sicherheitstools für ihre Zwecke. Der Anbieter Huntress etwa beobachtete in den vergangenen Wochen einen deutlichen Anstieg an Angriffen, bei denen das eigentlich legitime Digital-Forensics-Tool Velociraptor eingesetzt wurde.
Die Täter gelangten über eine Schwachstelle im Windows Server Update Service in das System – die Sicherheitslücke trägt die Kennung CVE-2025-59287 und ist mit 9,8 als sehr gefährlich bewertet. Danach starteten sie umfangreiche Discovery Queries, um herauszufinden, welche Benutzer existieren, welche Dienste laufen und wie das System konfiguriert ist. Der Angriff konnte zwar gestoppt werden, zeigt aber eindrucksvoll, wie flexibel und einfallsreich Bedrohungsakteure inzwischen sind.
„Velociraptor wird nicht das erste und nicht das letzte Dual-Use-Tool sein, das in echten Angriffsketten auftaucht“, warnt Huntress.
Fazit
Matrix Push C2 markiert eine neue Phase dateiloser Phishing-Angriffe, die ohne Malware-Installation auskommen, täuschend echte Warnmeldungen erzeugen und auf jedem Gerät funktionieren. Zugleich zeigt der Missbrauch von Velociraptor, dass Bedrohungsakteure zunehmend auf eine Mischung aus spezialisierten C2-Frameworks und völlig legalen Werkzeugen setzen. Für Unternehmen bedeutet das: Schutzmechanismen müssen sowohl Social-Engineering-Angriffe als auch den Missbrauch legitimer Software berücksichtigen – unabhängig vom Betriebssystem.