João Miguel Mesquita
A BlackFog identificou o Matrix Push C2 como uma nova plataforma de comando e controlo (C2) que se baseia em funções padrão do navegador para direcionar ataques de malware e phishing. Trata-se de uma estrutura nativa do navegador e do tipo “sem ficheiros” (fileless), que explora notificações push, alertas falsos e redirecionamentos de links para atacar utilizadores em diferentes sistemas operativos.
No centro desta técnica está o sistema de notificações web do navegador, uma função legítima concebida para que os sites possam mostrar avisos, e que o Matrix Push C2 utiliza, transformando-o num canal de comando e controlo que opera sem necessidade de inicialmente implementar ficheiros maliciosos no terminal, o que lhe permite contornar as ferramentas convencionais que procuram malware entre os ficheiros da unidade de armazenamento.
De acordo com a análise da empresa especializada em soluções de IA para cibersegurança, o ataque começa quando os operadores do Matrix Push C2 conseguem que o utilizador conceda permissão para receber notificações do navegador. Para isso, recorrem à engenharia social em sites maliciosos ou em páginas legítimas que foram comprometidas, apresentando janelas de solicitação de permissões que parecem rotineiras. Assim que o utilizador subscreve essas notificações, o atacante obtém uma linha direta para o computador ou dispositivo móvel através do próprio navegador.
A partir desse momento, o sistema permite enviar mensagens que simulam erros do sistema ou avisos de segurança, e que assumem a aparência de mensagens provenientes do sistema operativo ou de aplicações confiáveis, com títulos e ícones que contribuem para torná-las credíveis. Quando a vítima clica na notificação, é redirecionada para um site controlado pelo criminoso, que pode ser uma página de phishing ou um recurso a partir do qual é descarregado código malicioso, como um suposto «scanner» ou uma atualização do navegador.
Todo o processo inicial ocorre dentro do próprio mecanismo de notificações do navegador. Nesta fase, não é necessário que exista um ficheiro de malware tradicional instalado no sistema, o que caracteriza o Matrix Push C2 como uma técnica de ataque sem ficheiros na sua fase de entrada e dificulta a sua deteção.
A orquestração das campanhas é realizada a partir de um painel web fornecido pela própria plataforma Matrix Push C2. Do ponto de vista do atacante, este painel lembra uma consola de automação de campanhas, mas orientada para atividades maliciosas. Essa consola mostra, entre outros dados, o número total de navegadores controlados e métricas sobre a entrega das notificações, o que permite supervisionar de forma centralizada todos os clientes comprometidos, independentemente do sistema operativo.
Uma das funcionalidades de destaque é a visualização de «clientes ativos», uma secção que oferece informações detalhadas em tempo real de cada navegador inscrito: o painel indica quais notificações foram entregues, quais geraram interação e registra ações específicas, como cliques em um alerta ou botão. Além disso, a plataforma pode recolher certos dados do lado do cliente, como a presença de extensões de carteiras de criptomoedas no navegador ou o tipo de dispositivo utilizado, sem a necessidade de implementar componentes pesados no terminal.
A partir do momento em que a vítima aceita as notificações, o navegador passa a atuar como uma fonte contínua de telemetria para a infraestrutura de comando e controlo, proporcionando aos atacantes visibilidade sobre o comportamento do utilizador.
Falsificação de marcas e modelos de phishing
A análise destaca que o núcleo do ataque é a engenharia social. O Matrix Push C2 incorpora modelos configuráveis que permitem adaptar tanto as notificações como as páginas de destino para imitar serviços amplamente conhecidos. A plataforma inclui modelos associados a marcas como MetaMask, Netflix, Cloudflare, PayPal ou TikTok, concebidos para que as notificações e os ecrãs de «verificação» sejam indistinguíveis das comunicações legítimas destes fornecedores.
Através da utilização de logótipos familiares, mensagens redigidas num tom semelhante ao dos serviços originais e designs que replicam as interfaces reais, os atacantes aproveitam-se da confiança que os utilizadores depositam nessas marcas. Um exemplo descrito no relatório é o de notificações com aparência de terem sido geradas pela Cloudflare, que simulam verificações de segurança da ligação e incentivam o utilizador a clicar para continuar. Outro exemplo são as mensagens que parecem vir do PayPal, alertando sobre acessos incomuns e pedindo para verificar a conta.
Essas notificações aparecem na área oficial de avisos do dispositivo, o que leva o utilizador a assumir que a mensagem vem do seu próprio sistema operativo ou de um aplicativo instalado. Na prática, está a ser utilizado um canal legítimo para colocar a carga de phishing diretamente na tela do utilizador.
Além da parte visível para o utilizador, o Matrix Push C2 incorpora capacidades de medição e otimização de campanhas. A plataforma integra um encurtador de URLs e funções analíticas que permitem gerar links personalizados, ocultar o destino real sob rotas aparentemente inofensivas e acompanhar em detalhe as interações das vítimas.
Em vez de divulgar endereços longos e potencialmente suspeitos, os operadores podem criar links curtos em domínios ou rotas que controlam. Esses links são usados nas notificações e redirecionam finalmente para o recurso malicioso. O sistema contabiliza cada clique e o reflete no painel da campanha, para que os atacantes possam ver quais links foram acedidos e quantas vezes. Essas informações permitem que eles ajustem em tempo real o conteúdo das notificações e iscas utilizadas.
A análise da BlackFog apresenta o Matrix Push C2 como um exemplo de mudança nas táticas de acesso inicial. Ao utilizar o navegador como ponto de entrada e como canal de comando e controlo, esses ataques evitam parte dos controlos de segurança tradicionais e permitem que os atacantes escalem gradualmente desde a simples aceitação de uma notificação até o roubo ou a monetização dos dados.
Uma vez que o terminal — seja um computador ou um dispositivo móvel — está sob a influência deste tipo de campanhas, os operadores podem continuar a enviar mensagens de phishing para obter credenciais, convencer o utilizador a instalar componentes de malware mais persistentes ou explorar vulnerabilidades do navegador com o objetivo de aumentar o nível de controlo sobre o sistema. O objetivo final geralmente é a extração de informações ou a obtenção de benefícios económicos, por exemplo, esvaziando carteiras de criptomoedas ou exfiltrando dados pessoais.
