Matrix Push C2: Wie Hacker Browser mit einem Klick kapern

Eine raffinierte neue Betrugsmasche macht gewöhnliche Webbrowser zur Waffe – und alles, was Cyberkriminelle dafür brauchen, ist ein unbedachter Klick auf „Zulassen”.

Sicherheitsforscher von BlackFog haben diese Woche das „Matrix Push C2″-Framework entdeckt, einen ausgeklügelten Dienst, der Browser-Benachrichtigungen missbraucht, um Nutzer fernzusteuern. Die Besonderheit: Anders als klassische Schadsoftware muss hier keine Datei heruntergeladen werden. Stattdessen verwandelt sich der Browser selbst in eine Fernsteuerungszentrale für Angreifer.

Das am Donnerstag veröffentlichte Framework wird in Untergrund-Foren als „Marketing-Dashboard für Malware” angepriesen. Über eine benutzerfreundliche Oberfläche können Kriminelle tausende infizierte Browser gleichzeitig verwalten – als wären es Newsletter-Abonnenten.

Passend zum Thema Phishing und gefälschte Browser‑Benachrichtigungen: Viele Organisationen unterschätzen, wie schnell Mitarbeitende auf täuschende Meldungen hereinfallen. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie Phishing‑Kampagnen erkennen, Mitarbeitende schulen und CEO‑Fraud verhindern – inklusive branchenspezifischer Checklisten für Gesundheitswesen, Fertigung und Bau. Die Anleitung enthält Praxisbeispiele aus realen Attacken und konkrete Sofortmaßnahmen, mit denen IT‑Teams Angriffe schneller stoppen. Anti‑Phishing‑Paket jetzt gratis herunterladen

Der Angriff beginnt mit einer simplen Täuschung. Opfer landen auf manipulierten Websites, die gefälschte Systemwarnungen anzeigen: „CAPTCHA-Verifizierung erforderlich” oder „Dringendes Chrome-Update”. Um fortzufahren, sollen sie auf „Zulassen” klicken – scheinbar harmlos.

Doch dieser einen Klick reicht. Der Browser wird zum „Client” des Matrix-Push-Servers und die Angreifer können fortan jederzeit gezielte Benachrichtigungen senden – selbst wenn die ursprüngliche Website längst geschlossen ist.

„Dieses Framework missbraucht legitime Web-Push-Funktionen für Malware-Verteilung, Phishing und Datendiebstahl auf Windows, macOS, Linux und Mobilgeräten”, warnen die BlackFog-Forscher.

Unsichtbar für Antivirensoftware

Was Matrix Push C2 besonders gefährlich macht: Es hinterlässt zunächst keine verdächtigen Dateien. Traditionelle Virenschutzprogramme schlagen nicht an, weil die Attacke ausschließlich Browser-eigene Funktionen nutzt.

Die Möglichkeiten für Angreifer sind vielfältig. Sie können Systemwarnungen von Windows oder macOS täuschen, überzeugende Phishing-Seiten für Microsoft 365 oder Bankportale ausspielen und detaillierte Analysen über ihre Opfer sammeln – inklusive Standort, Browser-Version und Klickverhalten.

In einem beobachteten Fall imitierten Kriminelle einen „kritischen Sicherheitshinweis” von Google. Wer darauf klickte, landete auf einer Website mit manipulierter Software – aus der Browser-Belästigung wurde ein kompletter Systemeinbruch.

Parallel-Angriff auf Suchmaschinen

Zeitgleich entdeckten Forscher der Acronis Threat Research Unit die „TamperedChef”-Kampagne – eine massive Malvertising-Welle, die Suchmaschinenergebnisse vergiftet. Wer nach gängigen Software-Tools sucht, wird gezielt auf gefälschte Download-Seiten gelockt.

Besonders betroffen sind Unternehmen im Gesundheitswesen, der Fertigung und im Baugewerbe in den USA und Europa. Die Angreifer nutzen eine „industrialisierte” Infrastruktur mit ständig wechselnden digitalen Zertifikaten, um Sicherheitswarnungen zu umgehen.

Der Browser ist zum Hauptkampfplatz geworden. Ob durch manipulierte Push-Benachrichtigungen oder Suchmaschinen-Trickserei – Cyberkriminelle setzen nicht mehr auf Schwachstellen im Code, sondern auf die Gewohnheiten der Nutzer.

So schützen Sie sich

Experten raten, Browser-Berechtigungen genauso kritisch zu behandeln wie Datei-Downloads. Die wichtigsten Schutzmaßnahmen:

Benachrichtigungen überprüfen: Kontrollieren Sie regelmäßig unter „Einstellungen > Datenschutz > Website-Einstellungen > Benachrichtigungen”, welche Seiten Meldungen senden dürfen. Löschen Sie unbekannte Einträge.

Niemals „Zulassen” für Verifizierung: Echte CAPTCHA-Prüfungen verlangen niemals die Aktivierung von Browser-Benachrichtigungen – das ist ein eindeutiges Warnzeichen.

Stille Modus aktivieren: Chrome, Firefox und Edge bieten einen „Leise”- oder „Blockieren”-Modus für Benachrichtigungsanfragen. Nutzen Sie ihn.

Die Sicherheitsbranche zeigt sich besorgt über die Professionalität des Matrix-Push-Werkzeugs: „Die dashboard-ähnliche Bedienung senkt die Einstiegshürde für technisch weniger versierte Kriminelle erheblich”, so Analysten.

Gerade zum Beginn der Weihnachtszeit – Hochsaison für Malvertising und gefälschte Versandbenachrichtigungen – ist höchste Wachsamkeit geboten. Denn manchmal reicht ein unbedachter Klick, um dem eigenen Browser einen neuen Besitzer zu verschaffen.

PS: Schützen Sie sowohl Unternehmensnetze als auch Privatgeräte – dieselben Techniken treffen oft beides. Das Anti‑Phishing‑Paket liefert eine praktische 4‑Schritte‑Checkliste, Vorlagen für Mitarbeiterschulungen und branchenspezifische Empfehlungen, damit Sie Phishing‑Versuche früh erkennen und Eindringlinge stoppen. Kostenloser Download, sofort per E‑Mail verfügbar. Jetzt Anti‑Phishing‑Paket anfordern