Una nueva plataforma de comando y control (C2) denominada Matrix Push C2 está siendo utilizada por ciberdelincuentes para distribuir malware, aprovechando una función legítima de los navegadores web: las notificaciones push.
Según un informe de BlackFrog, esta plataforma maliciosa engaña a los usuarios con notificaciones falsas del sistema, los redirige a sitios web maliciosos, monitorea a las víctimas en tiempo real y escanea en busca de billeteras de criptomonedas.
¿Cómo Funciona el Ataque Matrix Push C2?
Matrix Push C2 abusa del sistema de notificaciones push del navegador para crear un canal de comunicación C2. El proceso de ataque se desarrolla en varias etapas:
- Ingeniería Social: Los atacantes engañan a los usuarios para que permitan las notificaciones del navegador, generalmente a través de ingeniería social en sitios web comprometidos o maliciosos.
- Establecimiento del C2: Una vez que el usuario se suscribe, se establece una línea directa con el escritorio o dispositivo móvil de la víctima a través del navegador.
- Entrega de Contenido Falso: Los ciberdelincuentes envían mensajes de error y alertas de seguridad de apariencia legítima que parecen provenir del sistema operativo o de software confiable.
- Redirección Maliciosa: Si la víctima hace clic en estas notificaciones falsas, es redirigida a un sitio web controlado por el atacante, que a menudo es una página de phishing o un sitio de descarga de malware.
BlackFrog describe esta técnica como un ataque “sin archivos” porque la interacción inicial ocurre a través del sistema de notificaciones del navegador, eliminando la necesidad de un archivo de malware tradicional en el sistema.
Características de la Plataforma Matrix Push C2
La plataforma Matrix Push C2 opera a través de un panel de control basado en la web que proporciona a los atacantes capacidades avanzadas:
- Independencia del Sistema Operativo: Dado que opera a través de la tecnología estándar del navegador, la amenaza no se limita a un único sistema operativo (Windows, Mac, Linux, Android, etc.).
- Monitoreo en Tiempo Real: El panel de control de la campaña muestra un panel de clientes activo, lo que proporciona al atacante información detallada sobre cada víctima en tiempo real. Esto permite un ataque más dirigido y peligroso, ya que el atacante tiene una conexión en vivo con el navegador de la víctima.
- Plantillas Configurables: Para aumentar la credibilidad de los mensajes falsos, Matrix Push C2 incluye plantillas configurables de marcas conocidas como MetaMask, Netflix, Cloudflare, PayPal y TikTok. Estas plantillas están diseñadas para imitar las notificaciones de seguridad legítimas de dichos proveedores.
- Gestión de Enlaces: La plataforma permite a los atacantes generar URLs cortas e inofensivas que redirigen al sitio malicioso real. Esto ayuda a evadir los filtros de seguridad y reduce el escepticismo de las víctimas ante enlaces largos y sospechosos.
Conclusiones y Recomendaciones
El uso de notificaciones push como canal C2 representa una evolución en las tácticas de ingeniería social, aprovechando la confianza de los usuarios en las alertas del navegador. Para contrarrestar esta amenaza, BlackFrog recomienda el uso de tecnología anti-exfiltración de datos (ADX), que se centra en bloquear el tráfico saliente no autorizado del sistema.