El uso de características legítimas de los navegadores web para fines maliciosos continúa siendo una tendencia preocupante en el ámbito de la ciberseguridad; investigadores de la firma BlackFrog han identificado una nueva plataforma de comando y control (C2), denominada Matrix Push C2, que aprovecha el sistema de notificaciones push de los navegadores para establecer una vía directa de ataque hacia los dispositivos de las víctimas.
Según el informe técnico, publicado el pasado 20 de noviembre, los ciberdelincuentes utilizan técnicas de ingeniería social en sitios web comprometidos o maliciosos para engañar a los usuarios y lograr que estos permitan la recepción de las notificaciones que manda el sitio. Una vez que el usuario se suscribe, se crea un canal de comunicación directo entre el atacante y el dispositivo, ya sea de escritorio o móvil, sin necesidad de que exista un archivo malicioso instalado previamente en el sistema.
Los expertos de BlackFrog describen esta metodología como un ataque "sin archivos" (fileless), dado que la interacción inicial ocurre enteramente a través de la infraestructura legítima de notificaciones del navegador. Esto permite a los atacantes eludir muchas de las defensas tradicionales que buscan ejecutables sospechosos en el disco duro.
Una de las características más destacadas de Matrix Push C2 es que no se limita a un sistema operativo específico; al operar mediante tecnología estándar de navegación web, la amenaza afecta por igual a usuarios de Windows, Mac, Linux y Android. Posteriormente, los criminales envían mensajes de error falsos o alertas de seguridad que simulan proceder del sistema operativo o de software confiable. Si la víctima interactúa con estas alertas, es redirigida a sitios de phishing o a descargas de malware.
La plataforma ofrece a los atacantes un panel de control sofisticado que proporciona información detallada sobre cada víctima en tiempo real. A diferencia de las campañas de correo electrónico masivo, donde el atacante "dispara a ciegas", esta herramienta permite una conexión viva con el navegador del objetivo, monitorizando clientes activos e incluso escaneando en busca de billeteras de criptomonedas.
Para incrementar la credibilidad de los engaños, Matrix Push C2 incluye plantillas configurables que imitan notificaciones de servicios reconocidos. El informe de BlackFrog señala el hallazgo de diseños preparados para suplantar a marcas como MetaMask, Netflix, Cloudflare, PayPal y TikTok entre otras. Además, el sistema incorpora herramientas de análisis y gestión de enlaces para medir la efectividad de las campañas.
Para dificultar su detección por parte de sistemas antimalware, los atacantes pueden generar direcciones URL cortas e inocuas bajo rutas que ellos controlan, las cuales redirigen finalmente al sitio malicioso real. Esta táctica ayuda a evadir los filtros de seguridad y reduce el escepticismo de las víctimas, que suelen desconfiar de enlaces largos o con apariencia extraña.
Ante esta amenaza emergente, los investigadores sugieren la implementación de tecnologías contra la exfiltración de datos (ADX) centradas en bloquear el tráfico saliente no autorizado como método efectivo para contrarrestar este tipo de intrusiones basadas en el navegador.
