Matrix Push C2: Millionen Netflix- und PayPal-Nutzer im Visier

Eine neue Welle ausgefeilter Cyberangriffe bedroht aktuell Millionen Nutzer weltweit – auch in Deutschland. Hacker setzen dabei auf eine perfide Methode: Sie kapern Browser-Benachrichtigungen, um täuschend echte Phishing-Warnungen direkt auf die Geräte ihrer Opfer zu schleusen.

Das Perfide an der Masche? Die Angriffe funktionieren ohne klassische Malware und umgehen so herkömmliche Virenscanner problemlos. Stattdessen nutzen die Kriminellen eine legitime Browser-Funktion – Push-Benachrichtigungen – als Waffe gegen ihre Opfer.

Am Donnerstag veröffentlichte die IT-Sicherheitsfirma BlackFog einen alarmierenden Bericht: Cyberkriminelle setzen ein neues Werkzeug namens “Matrix Push C2” ein, um gezielt Abonnenten großer Plattformen anzugreifen. Im Fokus stehen vor allem Netflix, PayPal und TikTok.

“Der Kern des Angriffs ist Social Engineering, und Matrix Push C2 kommt mit vorkonfigurierten Templates, die die Glaubwürdigkeit der gefälschten Nachrichten maximieren”, erklärt Brenda Robb, Forscherin bei BlackFog. Die Täuschung funktioniert erschreckend gut: Die gefälschten Sicherheitswarnungen sehen aus wie echte Systembenachrichtigungen und fordern Nutzer auf, “Kontodaten zu verifizieren” oder “Zahlungsinformationen zu aktualisieren”.

Passend zum Thema Browser- und Smartphone-Sicherheit: Viele Android-Nutzer übersehen diese fünf essenziellen Schutzmaßnahmen, die manipulierte Push-Benachrichtigungen und Phishing-Links wirkungsvoll verhindern können. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie Benachrichtigungsberechtigungen prüfen, Werbeblocker sinnvoll einsetzen und Ihr Gerät gegen datenklauende Phishing-Seiten härten. Gratis-Sicherheitspaket für Android anfordern

Anders als herkömmliche Schadsoftware hinterlässt diese Angriffsmethode keine Dateien auf dem System. Experten sprechen von einem “dateilosen” Angriff – eine Kategorie, die traditionelle Antivirenprogramme oft nicht erkennen.

So funktioniert die Falle

Die Angriffskette beginnt harmlos: Ein Nutzer besucht eine kompromittierte Website – häufig Streaming-Portale, Nachrichtenseiten oder Erwachseneninhalte. Dort erscheint die Aufforderung, Benachrichtigungen zu “erlauben”, um Inhalte anzuzeigen oder sich als echter Nutzer zu legitimieren.

Der fatale Klick auf “Zulassen” öffnet den Kriminellen die Tür: Das Matrix-Framework etabliert eine dauerhafte Verbindung zum Browser. Ab diesem Moment können die Hacker jederzeit Pop-up-Benachrichtigungen senden – selbst wenn der Nutzer die ursprüngliche Website längst geschlossen hat.

Die Methode besticht durch drei gefährliche Eigenschaften:

Perfekte Tarnung: Die Benachrichtigungen imitieren native Systemwarnungen von Windows, macOS oder Android bis ins kleinste Detail. Die Opfer haben kaum eine Chance, Fälschungen zu erkennen.

Professionelle Markenimitationen: Das Toolkit enthält fertige, hochwertige Phishing-Vorlagen für Netflix (angeblich abgelaufenes Abo), PayPal (fingierte unbefugte Transaktion) und MetaMask (vorgetäuschter Wallet-Sicherheitsalarm).

Echtzeit-Überwachung: Über ein Dashboard verfolgen die Angreifer ihre Opfer live, sehen welche Benachrichtigungen geklickt werden und welche Browser-Erweiterungen installiert sind.

Klickt ein Opfer auf eine Benachrichtigung, landet es auf einer Phishing-Seite, die Login-Daten oder Finanzdaten abgreift. Da die initiale Anfrage die legitime Benachrichtigungs-API des Browsers nutzt, löst sie keine Malware-Warnung aus – erst die finale Weiterleitung könnte auffallen.

Cybercrime als Abo-Modell

Besonders beunruhigend: Die rasante Verbreitung der Angriffswelle wird durch die kommerzielle Verfügbarkeit des Matrix-Werkzeugs befeuert. IT-Sicherheitsexperten bestätigen, dass das Toolkit offen auf Telegram-Kanälen und in Dark-Web-Foren als “Malware-as-a-Service” verkauft wird.

Die Preisstruktur macht professionelle Cyberkriminalität erschreckend zugänglich: Der Einstiegspreis liegt bei rund 130 Euro monatlich, eine Jahreslizenz kostet etwa 1.300 Euro. Diese niedrige Einstiegshürde ermöglicht es selbst weniger versierten Kriminellen, Phishing-Kampagnen auf Profi-Niveau zu starten.

“Zahlungen werden in Kryptowährung akzeptiert, und Käufer kommunizieren direkt mit dem Betreiber für den Zugang”, erklärt Dr. Darren Williams, CEO von BlackFog. Diese Struktur erlaubt es den Entwicklern des Matrix-Tools, an ihrer Schöpfung zu verdienen, während sie sich gleichzeitig von den tatsächlichen Angriffen distanzieren.

Waffe gegen die eigene Bequemlichkeit

Matrix Push C2 markiert einen Paradigmenwechsel in der IT-Sicherheit: Statt eigene Schadsoftware zu entwickeln, missbrauchen Hacker zunehmend legitime Systemfunktionen. Der Web-Push-Standard – unterstützt von Chrome, Edge, Firefox und Safari – wird so zur Waffe gegen seine eigenen Nutzer.

Diese Entwicklung ähnelt den “Smishing”-Trends (SMS-Phishing), verlagert das Schlachtfeld aber auf Desktop und mobile Browser. Die Fähigkeit, Nutzer plattformübergreifend anzugreifen – vom Android-Smartphone bis zum Windows-PC – macht diese Bedrohung besonders vielseitig.

Branchenexperten vermuten, dass der Erfolg von Matrix Push C2 Browser-Hersteller wie Google und Mozilla zum Umdenken zwingen könnte. “Wir erleben eine Bewaffnung der Nutzerfreundlichkeit”, sagt ein mit dem Bericht vertrauter Cybersicherheitsanalyst. “Solange Browser keine strengeren Standard-Richtlinien für Benachrichtigungen implementieren, bleiben diese Angriffe hocheffektiv.”

Was jetzt zu tun ist

In den kommenden Wochen rechnen IT-Sicherheitsfirmen mit einem Anstieg der Matrix-basierten Angriffe, da immer mehr kriminelle Gruppen das Toolkit abonnieren. Mit Beginn des Weihnachtsgeschäfts dürften die Hacker ihre Vorlagen anpassen – gefälschte Amazon-Lieferbenachrichtigungen oder vermeintliche Weihnachtsangebote sind zu erwarten.

Sofortmaßnahmen für Nutzer:

Browser-Berechtigungen prüfen: Kontrollieren Sie umgehend Ihre Browser-Einstellungen unter “Datenschutz und Sicherheit” > “Website-Einstellungen” > “Benachrichtigungen” und widerrufen Sie Berechtigungen für unbekannte Websites.

“Verifizierungs”-Pop-ups ignorieren: Seriöse Unternehmen wie Netflix oder PayPal fordern niemals über Browser-Push-Benachrichtigungen zur Kontoverifizierung auf.

Ad-Blocker einsetzen: Hochwertige Werbeblocker-Erweiterungen können häufig die initialen bösartigen Pop-ups blockieren, die um Benachrichtigungszugriff bitten.

Während Browser-Entwickler voraussichtlich an Sicherheitspatches arbeiten, um Benachrichtigungsmissbrauch einzuschränken, bleibt vorerst die Wachsamkeit der Nutzer die wichtigste Verteidigungslinie. Wer die Warn-Signale kennt und skeptisch bleibt, kann sich wirksam schützen – selbst gegen diese neue Generation digitaler Bedrohungen.

PS: Phishing per Push ist auf dem Vormarsch – oft reichen schon fünf einfache Schritte, um Ihr Android-Gerät deutlich sicherer zu machen. Der kompakte Praxis-Guide zeigt konkrete Einstellungen, welche Berechtigungen Sie entziehen sollten und wie sich Werbeblocker gegen initiale Phishing-Pop-ups einsetzen lassen. Sichern Sie Ihr Smartphone jetzt in wenigen Minuten mit klaren Checklisten. Jetzt Android-Schutzratgeber herunterladen