Hacker zielen mit einer neuen Phishing-Masche auf PayPal, Netflix und TikTok ab.

Nutzer von PayPal, Netflix und TikTok sind mithilfe eines neuen Tools namens Matrix Push C2 zu einem neuen Phishing-Ziel für Hacker geworden.

Berichten zufolge ist das Tool als webbasiertes Dashboard zugänglich. Dadurch können Hacker Benachrichtigungen versenden, jedes Opfer in Echtzeit trac, feststellen, mit welchen Benachrichtigungen die Opfer interagiert haben, und mithilfe eines integrierten URL-Kürzungsdienstes verkürzte Links erstellen. Zusätzlich tracsie installierte Browsererweiterungen, einschließlich Kryptowährungs-Wallets.

In einem Bericht erklärte die Blackfog-Forscherin Brenda Robb: „Der Kern des Angriffs besteht aus Social Engineering, und Matrix Push C2 ist mit konfigurierbaren Vorlagen ausgestattet, um die Glaubwürdigkeit seiner gefälschten Nachrichten zu maximieren […] Angreifer können ihre Phishing-Benachrichtigungen und Landingpages problemlos so gestalten, dass sie bekannte Unternehmen und Dienstleistungen imitieren.“

Weitere bekannte Marken, die Vorlagen zur Benachrichtigungsverifizierung unterstützen, sind MetaMask und Cloudflare. Die Plattform umfasst außerdem einen Bereich „Analysen & Berichte“, der es Kunden ermöglicht, die Effektivität ihrer Kampagnen zu messen und diese bei Bedarf zu optimieren.

Der Angriff erfolgt über den Webbrowser als plattformübergreifende Bedrohung.

Sobald Betrüger ihre Opfer dazu gebracht haben, Benachrichtigungen von der Website zu empfangen , nutzen sie den im Webbrowser integrierten Push-Benachrichtigungsmechanismus aus. Sie versenden damit Warnmeldungen, die den Anschein erwecken, vom Betriebssystem oder dem Browser selbst zu stammen. Dabei setzen sie auf vertraute Marken, bekannte Logos und überzeugende Formulierungen, um den Betrug aufrechtzuerhalten.

Dazu gehören beispielsweise Warnungen vor verdächtigen Anmeldungen oder Browser-Updates sowie eine praktische Schaltfläche „Überprüfen“ oder „Aktualisieren“, die das Opfer beim Anklicken auf eine gefälschte Webseite weiterleitet.

Bei diesem Angriff läuft der gesamte Vorgang über den Browser ab, ohne dass das System des Opfers zuvor auf anderem Wege infiziert werden muss. In gewisser Weise ähnelt der Angriff ClickFix, da Nutzer dazu verleitet werden, bestimmten Anweisungen zu folgen, um ihre eigenen Systeme zu kompromittieren und so herkömmliche Sicherheitsvorkehrungen zu umgehen.

Da der Angriff über den Webbrowser erfolgt, stellt er zudem eine plattformübergreifende Bedrohung dar. Dadurch wird jede Browseranwendung auf jeder Plattform, die die schädlichen Benachrichtigungen abonniert, zu einem Client im Client-Pool und bietet Angreifern einen permanenten Kommunikationskanal.

Matrix Push wurde erstmals Anfang Oktober beobachtet und ist seitdem aktiv. Es gibt jedoch keine Hinweise auf ältere Versionen, ein früheres Branding oder eine längerfristige Infrastruktur. Alles deutet darauf hin, dass es sich um ein neu eingeführtes Kit handelt.

Telegram spielt eine Rolle im Geschäft der Betrüger.

Matrix Push C2 wird als Malware-as-a-Service (MaaS)-Kit an andere Cyberkriminelle verkauft. Der Vertrieb erfolgt direkt über Crimeware-Kanäle, hauptsächlich über Telegram und Cybercrime-Foren. Es gibt verschiedene Abonnementstufen: ca. 150 US-Dollar pro Monat, 405 US-Dollar für drei Monate, 765 US-Dollar für sechs Monate und 1.500 US-Dollar für ein ganzes Jahr.

Laut Dr. Darren Williams, Gründer und CEO von BlackFog,  werden Zahlungen in Kryptowährung akzeptiert, und Käufer kommunizieren direkt mit dem Betreiber, um Zugang zu erhalten. Auch Europol warnte davor , dass die Nutzung von Krypto-Assets für kriminelle Aktivitäten immer raffinierter geworden ist.

Telegram-Gründer Pavel Durov wurde persönlich für einige illegale Aktivitäten auf der Messaging-Plattform zur Verantwortung gezogen. Durov wurde zunächst in Paris im Rahmen formeller Ermittlungen wegen mutmaßlicher Beteiligung an kriminellen Aktivitäten auf Telegram festgenommen.

Französische Ermittler werfen dem Unternehmen vor, für illegalen Handel, kinderpornografisches Material und andere illegale Transaktionen genutzt worden zu sein und die Zusammenarbeit mit den Strafverfolgungsbehörden verweigert zu haben. Telegram erweist sich weiterhin als Marktplatz für Kriminelle.

Cryptopolitan berichtete , dass Frankreich das Reiseverbot gegen Pavel Durov aufgehoben hat, sodass er nun frei reisen kann. Die strafrechtlichen Ermittlungen gegen seine Messaging-Plattform dauern jedoch an.

Kürzlich  deckte ein Bestechungsnetzwerk auf und zerschlug es. Dieses Netzwerk wurde von gesperrten Nutzern und Kryptobetrügern betrieben, die angeblich „Mittelsmänner“ bezahlten, um Mitarbeiter zu bestechen und im Gegenzug die Wiederherstellung von Konten zu erreichen.