Los atacantes maliciosos están aprovechando las notificaciones del navegador como vector de ataques de phishing para distribuir enlaces maliciosos utilizando una nueva plataforma de comando y control (C2) llamada Matrix Push C2.
«Este marco sin archivos nativo del navegador aprovecha las notificaciones automáticas, las alertas falsas y los redireccionamientos de enlaces a víctimas específicas en todos los sistemas operativos», dijo la investigadora de Blackfog Brenda Robb en un informe el jueves.
En estos ataques, se engaña a los objetivos potenciales para que permitan notificaciones del navegador mediante ingeniería social en sitios web maliciosos o legítimos.
Una vez que un usuario acepta recibir notificaciones de un sitio, el atacante aprovecha el mecanismo de notificación push web integrado en el navegador web para enviar alertas que parecen ser enviadas por el sistema operativo o el propio navegador. Esto aprovecha una marca confiable, un logotipo familiar y un lenguaje convincente para mantener el juego en marcha.
Estos incluyen alertas sobre cosas como inicios de sesión sospechosos y actualizaciones del navegador, así como útiles botones de «confirmación» y «actualización» que, al hacer clic, lo redireccionan a un sitio falso.
Lo que hace que esta sea una técnica inteligente es que todo el proceso se lleva a cabo a través del navegador sin necesidad de infectar primero el sistema de la víctima por otros medios. En cierto modo, este ataque es similar a ClickFix en el sentido de que se engaña a los usuarios para que sigan instrucciones específicas para comprometer sus sistemas, evitando así de manera efectiva los controles de seguridad tradicionales.
Eso no es todo. Este ataque también es una amenaza multiplataforma ya que se lleva a cabo a través de un navegador web. Esto une efectivamente cualquier aplicación de navegador en cualquier plataforma que se suscriba a notificaciones maliciosas en un grupo de clientes, brindando a los adversarios un canal de comunicación persistente.
Matrix Push C2 se ofrece como un kit de malware como servicio (MaaS) a otros actores de amenazas. Se vende directamente a través de canales de crimeware (generalmente a través de Telegram o foros de cibercrimen) mediante un modelo de suscripción escalonada. Los precios son aproximadamente $150 por un mes, $405 por tres meses, $765 por seis meses y $1,500 por un año.
«Se aceptan pagos en criptomonedas y los compradores se comunican directamente con los operadores para obtener acceso», dijo el fundador y director ejecutivo de BlackFog, el Dr. Darren Williams, a Hacker News. «Matrix Push se observó por primera vez a principios de octubre y ha estado activo desde entonces. No hay evidencia de versiones anteriores, marcas anteriores o infraestructura de larga data. Todo indica que se trata de un kit recién lanzado».
Accesible como un panel de control basado en web, la herramienta permite a los usuarios enviar notificaciones, rastrear a cada víctima en tiempo real, determinar con qué notificaciones interactuó una víctima, crear enlaces acortados utilizando el acortador de URL incorporado e incluso registrar las extensiones de navegador instaladas, incluidas las billeteras de criptomonedas.
«El núcleo del ataque es la ingeniería social y Matrix Push C2 incluye plantillas configurables para maximizar la autenticidad de los mensajes falsos», explicó Robb. «Un atacante puede crear fácilmente una notificación de phishing o una página de destino para hacerse pasar por una empresa o servicio conocido».
Algunas de las plantillas de validación de notificaciones admitidas están asociadas con marcas conocidas como MetaMask, Netflix, Cloudflare, PayPal y TikTok. La plataforma también incluye una sección de «Análisis e informes» que permite a los clientes medir la efectividad de sus campañas y realizar los ajustes necesarios.
«Matrix Push C2 representa un cambio en la forma en que los atacantes obtienen acceso inicial e intentan explotar a los usuarios», dijo BlackFog. «Una vez que el punto final de un usuario (computadora o dispositivo móvil) se ve afectado por este tipo de impacto, un atacante puede intensificar el ataque con el tiempo».
«Pueden enviar mensajes de phishing adicionales para robar credenciales, engañar a los usuarios para que instalen malware más persistente o incluso aprovechar vulnerabilidades del navegador para obtener un control más profundo sobre el sistema. El objetivo final es a menudo robar datos o monetizar el acceso exfiltrando carteras de criptomonedas o exfiltrando información personal».
Los ataques que explotan a los Velociraptors van en aumento
El desarrollo se produce después de que Huntress dijera que había observado un «aumento significativo» en los ataques armados con la legítima herramienta forense digital y respuesta a incidentes (DFIR) Velociraptor durante los últimos tres meses.
El 12 de noviembre de 2025, el proveedor de ciberseguridad anunció que los atacantes implementaron Velociraptor después de obtener acceso inicial explotando una falla en Windows Server Update Services (CVE-2025-59287, puntuación CVSS: 9.8) que Microsoft parchó a fines del mes pasado.
Luego, supuestamente los atacantes realizaron reconocimientos y lanzaron consultas de descubrimiento destinadas a recopilar detalles sobre los usuarios, los servicios en ejecución y las configuraciones. El ataque fue detenido antes de que pudiera continuar, añadió Huntress.
Este descubrimiento muestra que los atacantes no solo están utilizando marcos C2 personalizados, sino que también aprovechan herramientas ofensivas de ciberseguridad y respuesta a incidentes disponibles en el mercado.
«Hemos visto a los actores de amenazas utilizar herramientas legítimas durante mucho tiempo, por lo que sabemos que Velociraptor no es la primera herramienta de código abierto de doble uso que surge en los ataques, y no será la última», dijeron los investigadores de Huntress.
Source link
