كشف باحثون أمنيون عن ظهور منصة قيادة وتحكم خبيثة جديدة تحمل اسم “ماتريكس بوش سي 2” (Matrix Push C2)، تستغل إشعارات متصفح الويب كوسيلة مبتكرة لتوزيع روابط التصيد الاحتيالي. هذه التقنية “عديمة الملفات” تعبر حدود أنظمة التشغيل، مما يشكل تهديدًا واسع النطاق يصعب على الضحايا اكتشافه بسبب قدرته على محاكاة إشعارات النظام والبرامج الموثوقة.
آلية الهجوم: من الإغراء إلى الاختراق
تعتمد الهجمات على خطوتين رئيسيتين. تبدأ باستدراج الضحايا إلى مواقع ويب ضارة أو مواقع شرعية تم اختراقها، حيث يتم خداعهم عبر أساليب الهندسة الاجتماعية للنقر على زر الموافقة على تلقي الإشعارات من ذلك الموقع. بمجرد حصول المهاجمين على هذه الإذونات، تبدأ المرحلة الأكثر خطورة. هنا، يستغلون آلية إشعارات الويب المدمجة في المتصفح لإرسال تنبيهات مزيفة تبدو وكأنها صادرة من نظام التشغيل نفسه أو من المتصفح. تستخدم هذه الإشعارات شعارات العلامات التجارية المعروفة ولغة مقنعة، مثل تحذيرات الاشتباه في تسجيلات الدخول أو إشعارات تحديث المتصفح العاجلة، مزودة بزر “تحقق” أو “حدث”. النقر على هذا الزر يقود الضحية إلى موقع ويب وهمي مصمم لسرقة بياناته.
ما الذي يجعل “ماتريكس بوش سي 2” تهديدًا فريدًا؟
تكمن براعة هذا الهجوم في كونه “عديم الملفات”، حيث تتم العملية بأكملها عبر المتصفح دون الحاجة إلى تنزيل أي برنامج ضار على جهاز الضحية مسبقًا. هذه الميزة تمكنه من تجاوز العديد من ضوابط الأمن التقليدية التي تبحث عن البرامج الخبيثة. علاوة على ذلك، فهو تهديد “عابر للمنصات”، مما يعني أنه يمكنه استهداف أي متصفح على أي نظام تشغيل (Windows, macOS, Android, iOS) طالما اشترك في الإشعارات الضارة. وهذا يمنح الخصوم قناة اتصال مستمرة ومستدامة مع أجهزة الضحايا.
منصة إجرامية جاهزة للاستخدام
ولجعل التهديد أوسع انتشارًا، يتم تقديم “ماتريكس بوش سي 2” كنموذج “برمجية ضارة كخدمة” (MaaS) للمجرمين الإلكترونيين الآخرين. يتم بيعها مباشرة عبر قنوات الإجرام الإلكتروني، مثل “تيليجرام” ومنتديات القرصنة، بموجب نموذج اشتراك متدرج يبدأ من 150 دولارًا لمدة شهر وصولاً إلى 1500 دولار لمدة عام كامل، مع قبول المدفوعات بالعملات المشفرة. وتأتي المنصة على شكل لوحة تحكم ويب تمكن المهاجمين من إرسال الإشعارات، وتتبع الضحايا في الوقت الفعلي، ومعرفة الإشعارات التي تفاعلوا معها، بل وحتى تسجيل الإضافات المثبتة في المتصفح مثل محافظ العملات المشفرة. كما أنها مزودة بقوالب قابلة للتخصيص لتقليد علامات تجارية شهيرة مثل “ميتاماسك” و”نيتفليكس” و”باي بال” و”تيك توك”، مما يزيد من مصداقية الرسائل المزيفة.
استغلال الأدوات المشروعة: تنامي هجمات “فيلوسيرابتور”
في سياق متصل، لا يقتصر تطور التهديدات على الأدوات المخصصة، بل يمتد ليشمل استغلال الأدوات المشروعة. حيث أعلنت شركة “هانترس” للأمن السيبراني عن ارتفاع ملحوظ في الهجمات التي تستغل أداة “فيلوسيرابتور” (Velociraptor) الشرعية، وهي أداة مفتوحة المصدر تُستخدم في التحقيق الجنائي الرقمي والاستجابة للحوادث. فبعد الحصول على موطئ قدم أولي في الأنظمة، يقوم المهاجمون بتشغيل هذه الأداة لإجراء عميات استطلاع وجمع تفاصيل حساسة حول المستخدمين والخدمات والتكوينات داخل الشبكة المستهدفة. هذا التوجه يسلط الضوء على استراتيجية المهاجمين المتطورة في توظيف أدوات مشروعة وذات استخدام مزدوج لتجنب الكشف وتعزيز قدراتهم التخريبية.
