Claro, aquí tienes el contenido reescrito:
Los delincuentes están utilizando las notificaciones del navegador como una vía para llevar a cabo ataques de phishing, distribuyendo enlaces maliciosos a través de una nueva plataforma de comando y control (C2) denominada Matrix Push C2.
«Este marco nativo del navegador, que funciona sin archivos, utiliza notificaciones automáticas, alertas falsas y redireccionamientos para atacar a las víctimas en todos los sistemas operativos», afirmó Brenda Robb, investigadora de Blackfog, en un informe. Durante estos ataques, los delincuentes engañan a las víctimas para que acepten recibir notificaciones del navegador mediante técnicas de ingeniería social aplicadas en sitios web maliciosos o legítimos que han sido comprometidos.
Una vez que el usuario acepta las notificaciones, los atacantes utilizan el mecanismo de notificaciones push web del navegador para enviar alertas que parecen provenir del sistema operativo o del mismo navegador, empleando marcas reconocibles, logotipos familiares y un lenguaje convincente para mantener el engaño.
Estas alertas pueden incluir información sobre inicios de sesión sospechosos o actualizaciones del navegador, presentando un botón «Verificar» o «Actualizar» que, al ser clicado, dirige a la víctima a un sitio falso.
Lo ingenioso de esta técnica es que todo se realiza a través del navegador, sin necesidad de infectar previamente el sistema de la víctima. Este ataque se asemeja a ClickFix, donde los usuarios son inducidos a seguir instrucciones que comprometen sus propios sistemas, eludiendo así los controles de seguridad convencionales.
Además, dado que el ataque se produce a través del navegador, se convierte en una amenaza que puede afectar a múltiples plataformas. Esto permite que cualquier aplicación de navegador que se suscriba a notificaciones maliciosas se integre en este grupo de clientes, dando a los atacantes un canal de comunicación constante.
Matrix Push C2 se ofrece como un kit de malware como servicio (MaaS) para otros delincuentes. Se distribuye a través de canales de crimeware, generalmente mediante Telegram y foros de cibercrimen, bajo un modelo de suscripción que varía: alrededor de $150 por un mes, $405 por tres meses, $765 por seis meses y $1,500 por un año.
«Los pagos se realizan en criptomonedas, y los compradores se comunican directamente con el operador para obtener acceso», indicó el Dr. Darren Williams, fundador y CEO de BlackFog. «Matrix Push se detectó por primera vez a inicios de octubre y ha estado activo desde entonces. No se encontraron evidencias de versiones anteriores, marcas antiguas o infraestructura establecida. Todo indica que se trata de un kit recién lanzado».
La herramienta está disponible como un panel basado en la web, lo que permite a los usuarios enviar notificaciones, rastrear a las víctimas en tiempo real, observar las interacciones de las víctimas con las notificaciones, crear enlaces acortados mediante un servicio integrado y registrar extensiones de navegador instaladas, incluidas carteras de criptomonedas.
«El núcleo del ataque radica en la ingeniería social, y Matrix Push C2 viene equipado con plantillas configurables para optimizar la credibilidad de los mensajes fraudulentos», explicó Robb. «Los atacantes pueden personalizar fácilmente sus notificaciones de phishing y las páginas de destino para suplantar a empresas y servicios conocidos».
Algunas de las plantillas de verificación de notificaciones disponibles están relacionadas con marcas reconocidas como MetaMask, Netflix, Cloudflare, PayPal y TikTok. La plataforma también incluye una sección de «Análisis e informes» que permite a los clientes medir la efectividad de sus campañas y ajustarlas según sea necesario.
Matrix Push C2 representa un cambio significativo en la forma en que los atacantes logran acceso inicial y buscan explotar a los usuarios. Una vez que el dispositivo de un usuario está bajo esta influencia, el atacante puede intensificar gradualmente el ataque. «Podrían enviar mensajes de phishing adicionales para robar credenciales, engañar al usuario a que instale malware más persistente o incluso aprovechar vulnerabilidades del navegador para obtener un control más profundo del sistema. En última instancia, el objetivo suelen ser el robo de datos o la monetización del acceso, como vaciar carteras de criptomonedas o filtrar información personal».
Fuente:
THN
Con Información de blog.segu-info.com.ar