Los malos actores están aprovechando las notificaciones del navegador como vector de ataques de phishing para distribuir enlaces maliciosos mediante una nueva plataforma de comando y control (C2) llamamiento Matrix Push C2.
“Este situación nativo del navegador y sin archivos aprovecha las notificaciones automáticas, las alertas falsas y los redireccionamientos de enlaces para apuntar a las víctimas en todos los sistemas operativos”, dijo la investigadora de Blackfog, Brenda Robb, en un referencia del jueves.
En estos ataques, se engaña a los posibles objetivos para que permitan notificaciones del navegador mediante ingeniería social en sitios web maliciosos o legítimos pero comprometidos.
Una vez que un becario acepta tomar notificaciones del sitio, los atacantes aprovechan el mecanismo de notificación push web integrado en el navegador web para despachar alertas que parecen favor sido enviadas por el sistema activo o el propio navegador, aprovechando marcas confiables, logotipos familiares y un jerga convincente para nutrir la artimaña.
Estos incluyen alertas sobre, por ejemplo, inicios de sesión sospechosos o actualizaciones del navegador, contiguo con un útil gema “Efectuar” o “Modernizar” que, cuando se hace clic, lleva a la víctima a un sitio adulterado.
Lo que hace que esta técnica sea inteligente es que todo el proceso se lleva a punta a través del navegador sin menester de infectar primero el sistema de la víctima por algún otro medio. En cierto modo, el ataque es como ClickFix en el sentido de que los usuarios son atraídos a seguir ciertas instrucciones para comprometer sus propios sistemas, evitando así de guisa efectiva los controles de seguridad tradicionales.
Eso no es todo. Hexaedro que el ataque se realiza a través del navegador web, igualmente es una amenaza multiplataforma. Básicamente, esto convierte cualquier aplicación de navegador en cualquier plataforma que se suscriba a notificaciones maliciosas para que se inscriba en el categoría de clientes, brindando a los adversarios un canal de comunicación persistente.
Matrix Push C2 se ofrece como un kit de malware como servicio (MaaS) a otros actores de amenazas. Se vende directamente a través de canales de crimeware, generalmente a través de Telegram y foros de cibercrimen, bajo un maniquí de suscripción escalonada: cerca de de $150 por un mes, $405 por tres meses, $765 por seis meses y $1,500 por un año completo.
“Los pagos se aceptan en criptomonedas y los compradores se comunican directamente con el cirujano para obtener ataque”, dijo a The Hacker News el Dr. Darren Williams, fundador y director ejecutor de BlackFog. “Matrix Push se observó por primera vez a principios de octubre y ha estado activo desde entonces. No hay evidencia de versiones anteriores, marcas anteriores o infraestructura de larga data. Todo indica que se prostitución de un kit recién resuelto”.
Se puede aceptar a la aparejo como un panel basado en web, lo que permite a los usuarios despachar notificaciones, rastrear a cada víctima en tiempo verdadero, determinar con qué notificaciones interactuaron las víctimas, crear enlaces acortados utilizando un servicio de acortamiento de URL incorporado e incluso registrar extensiones de navegador instaladas, incluidas billeteras de criptomonedas.
“El núcleo del ataque es la ingeniería social, y Matrix Push C2 viene cargado con plantillas configurables para maximizar la credibilidad de sus mensajes falsos”, explicó Robb. “Los atacantes pueden personalizar fácilmente sus notificaciones de phishing y sus páginas de destino para hacerse advenir por empresas y servicios conocidos”.
Algunas de las plantillas de comprobación de notificaciones admitidas están asociadas con marcas conocidas como MetaMask, Netflix, Cloudflare, PayPal y TikTok. La plataforma igualmente incluye una sección de “Disección e informes” que permite a sus clientes calibrar la efectividad de sus campañas y perfeccionarlas según sea necesario.
“Matrix Push C2 nos muestra un cambio en la forma en que los atacantes obtienen ataque original e intentan explotar a los usuarios”, dijo BlackFog. “Una vez que el punto final de un becario (computadora o dispositivo móvil) está bajo este tipo de influencia, el atacante puede intensificar gradualmente el ataque”.
“Podrían despachar mensajes de phishing adicionales para robar credenciales, engañar al becario para que instale un malware más persistente o incluso usar los exploits del navegador para obtener un control más profundo del sistema. En última instancia, el objetivo final suele ser robar datos o monetizar el ataque, por ejemplo, vaciando carteras de criptomonedas o filtrando información personal”.
Aumentan los ataques que hacen mal uso del Velociraptor
El explicación se produce cuando Huntress dijo que observó un “aumento significativo” en los ataques que utilizan la legítima aparejo forense digital y respuesta a incidentes (DFIR) Velociraptor en los últimos tres meses.
El 12 de noviembre de 2025, el proveedor de ciberseguridad dijo que los actores de amenazas implementaron Velociraptor luego de obtener ataque original mediante la explotación de una equivocación en Windows Server Update Services (CVE-2025-59287, puntuación CVSS: 9.8), que fue parcheada por Microsoft a fines del mes pasado.
Luego, se dice que los atacantes lanzaron consultas de descubrimiento con el objetivo de realizar reconocimientos y compendiar detalles sobre los usuarios, los servicios en ejecución y las configuraciones. El ataque fue contenido ayer de que pudiera continuar, añadió Huntress.
El descubrimiento muestra que los actores de amenazas no solo están utilizando marcos C2 personalizados, sino que igualmente están empleando herramientas ofensivas de ciberseguridad y respuesta a incidentes fácilmente disponibles para su beneficio.
“Hemos manido a los actores de amenazas usar herramientas legítimas el tiempo suficiente para memorizar que Velociraptor no será la primera aparejo de código destapado de doble uso que aparecerá en los ataques, ni será la última”, dijeron los investigadores de Huntress.
