Usuarios de PayPal, Netflix y TikTok fueron blanco de la campaña de phishing Matrix Push C2

Los usuarios de PayPal, Netflix y TikTok se han convertido en un nuevo objetivo de phishing para los piratas informáticos que utilizan una nueva herramienta llamada Matrix Push C2.

Según informes, la herramienta es accesible como un panel web. Esto permite a los hackers enviar notificaciones, traca cada víctima en tiempo real, determinar con qué notificaciones interactuaron y crear enlaces acortados mediante un servicio de acortamiento de URL integrado. Además, traclas extensiones de navegador instaladas, incluyendo las billeteras de criptomonedas.

En un informe, la investigadora de Blackfog, Brenda Robb, afirmó: «El núcleo del ataque es la ingeniería social, y Matrix Push C2 viene cargado con plantillas configurables para maximizar la credibilidad de sus mensajes falsos […] Los atacantes pueden personalizar fácilmente sus notificaciones de phishing y páginas de destino para hacerse pasar por empresas y servicios conocidos».

Otras marcas conocidas que admiten plantillas de verificación de notificaciones son MetaMask y Cloudflare . La plataforma también incluye una sección de "Análisis e informes" que permite a sus clientes medir la eficacia de sus campañas y optimizarlas según sea necesario.

El ataque se desarrolla a través del navegador web como una amenaza multiplataforma.

Cuando el estafador consigue que la víctima reciba notificaciones del sitio, los atacantes aprovechan el mecanismo de notificaciones push web integrado en el navegador. Lo utilizan para enviar alertas que parecen haber sido enviadas por el sistema operativo o el propio navegador. Esto se vale de una marca de confianza, logotipos familiares y un lenguaje convincente para mantener la treta.

Estos incluyen alertas sobre, por ejemplo, inicios de sesión sospechosos o actualizaciones del navegador, junto con un práctico botón "Verificar" o "Actualizar" que, al hacer clic, lleva a la víctima a un sitio falso.

Con este ataque, todo el proceso se realiza a través del navegador sin necesidad de infectar previamente el sistema de la víctima por otros medios. En cierto modo, el ataque es similar a ClickFix, ya que induce a los usuarios a seguir instrucciones específicas para comprometer sus propios sistemas, eludiendo así los controles de seguridad tradicionales.

Además, dado que el ataque se produce a través del navegador web, también es una amenaza multiplataforma. Esto convierte cualquier aplicación de navegador en cualquier plataforma que se suscriba a las notificaciones maliciosas en un cliente registrado en el grupo de clientes, lo que proporciona a los adversarios un canal de comunicación persistente.

Matrix Push se observó por primera vez a principios de octubre y ha estado activo desde entonces. Sin embargo, no hay evidencia de versiones anteriores, marcas anteriores ni una infraestructura de larga data. Todo indica que se trata de un kit recién lanzado.

Telegram entra en juego en el negocio de los estafadores

Matrix Push C2 se vende como un kit de malware como servicio (MaaS) a otros actores de amenazas. Se vende directamente a través de canales de crimeware, principalmente en Telegram y foros de ciberdelincuencia. Hay diferentes niveles de suscripción: aproximadamente $150 al mes, $405 por tres meses, $765 por seis meses y $1500 por un año completo.

Además, según el Dr. Darren Williams, fundador y director ejecutivo de BlackFog, «Se aceptan pagos en criptomonedas y los compradores se comunican directamente con el operador para acceder». Incluso Europol advirtió que el uso de criptoactivos para actividades delictivas se ha vuelto más sofisticado.

El fundador de Telegram, Pavel Durov, ha sido declarado personalmente responsable de algunas actividades ilícitas en la plataforma de mensajería. Durov fue arrestado inicialmente en París como parte de una investigación formal por su presunta participación en actividades delictivas en Telegram.

Los investigadores franceses acusan a la empresa de ser utilizada para el comercio ilegal, la difusión de material de abuso sexual infantil y otros intercambios ilícitos, así como de no cooperar con las autoridades. Telegram sigue demostrando ser un mercado para delincuentes.

Cryptopolitan informó que Francia revocó la prohibición de viajar a Pavel Durov, por lo que ahora puede viajar libremente. Sin embargo, continúa la investigación criminal sobre su plataforma de mensajería.

Recientemente, X descubrió y desmanteló una red de sobornos dirigida por usuarios suspendidos y estafadores de criptomonedas que supuestamente pagaban a “intermediarios” para sobornar a los empleados a cambio de la reactivación de sus cuentas.

Obtén hasta $30,050 en recompensas comerciales cuando te unas a Bybit hoy