Hackers estão explorando notificações de navegador como vetor para ataques de phishing, distribuindo links maliciosos por meio de uma nova plataforma de comando e controle (C2) chamada Matrix Push C2.
Segundo Brenda Robb, pesquisadora da BlackFog, em relatório divulgado na última quinta-feira, “esse framework nativo do navegador e sem arquivos utiliza notificações push, alertas falsos e redirecionamentos para atingir vítimas em diversos sistemas operacionais”.
Nos ataques, as vítimas são enganadas por meio de engenharia social em sites maliciosos ou legítimos, porém comprometidos, para autorizar o envio de notificações pelo navegador.
Após o usuário permitir as notificações, os criminosos exploram o mecanismo nativo de push notification para disparar alertas que simulam mensagens do próprio sistema operacional ou navegador, usando marcas confiáveis, logos familiares e linguagem convincente para manter a ilusão.
Essas notificações podem informar, por exemplo, sobre supostos logins suspeitos ou atualizações do navegador, acompanhadas de botões como “Verificar” ou “Atualizar”.
Ao clicar, a vítima é direcionada a um site falso.
A inteligência dessa técnica está no fato de que todo o ataque ocorre via navegador, sem necessidade de infectar previamente o sistema da vítima por outros meios.
De certa forma, é semelhante ao golpe ClickFix: o usuário compromete seu próprio sistema ao seguir as instruções, o que permite burlar controles tradicionais de segurança.
Além disso, como o ataque ocorre dentro do navegador, trata-se de uma ameaça cross-platform.
Qualquer navegador, em qualquer sistema que aceite as notificações maliciosas, pode ser utilizado como cliente, oferecendo ao criminoso um canal de comunicação persistente.
O Matrix Push C2 é um kit de malware oferecido como Malware-as-a-Service (MaaS) para outros atores maliciosos.
É comercializado diretamente em canais de crimeware, geralmente via Telegram e fóruns de cibercrime, com modelos de assinatura por tempo: cerca de US$ 150 para um mês, US$ 405 para três meses, US$ 765 para seis meses e US$ 1.500 para um ano inteiro.
Darren Williams, fundador e CEO da BlackFog, disse ao The Hacker News que “o Matrix Push foi observado pela primeira vez no início de outubro e permanece ativo desde então.
Não há evidências de versões anteriores, marcas antigas ou infraestrutura duradoura.
Tudo indica que se trata de um kit recém-lançado”.
A plataforma é acessada por meio de um painel web que permite enviar notificações, monitorar as vítimas em tempo real, verificar quais interagiram com as mensagens, criar links encurtados via serviço integrado e registrar extensões instaladas no navegador, incluindo carteiras de criptomoedas.
Robb destaca que “o núcleo do ataque é a engenharia social.
O Matrix Push C2 vem com modelos configuráveis que aumentam a credibilidade das mensagens falsas”.
Os criminosos podem personalizar notificações e páginas de phishing para se passar por empresas e serviços reconhecidos.
Alguns templates imitam marcas famosas como MetaMask, Netflix, Cloudflare, PayPal e TikTok.
A plataforma também oferece uma seção de “Analytics & Reports” que permite medir e ajustar a eficácia das campanhas.
Segundo a BlackFog, o Matrix Push C2 representa uma mudança na forma como atacantes obtêm acesso inicial e exploram usuários.
Uma vez sob influência desse tipo de ataque, o criminoso pode escalar gradativamente, enviando novas mensagens de phishing para roubar credenciais, induzir o usuário à instalação de malware mais persistente ou explorar falhas no navegador para obter controle mais profundo do sistema.
O objetivo final geralmente é furtar dados ou monetizar o acesso, por exemplo, esvaziando carteiras digitais ou extraindo informações pessoais.
Enquanto isso, a empresa Huntress reportou crescimento significativo nas investidas que utilizam o Velociraptor — ferramenta legítima de forense digital e resposta a incidentes (DFIR) — nos últimos três meses.
Em 12 de novembro de 2025, a Huntress informou que criminosos lançaram o Velociraptor após obter acesso inicial explorando vulnerabilidade no Windows Server Update Services (
CVE-2025-59287
, com pontuação CVSS 9,8).
A falha foi corrigida pela Microsoft no mês anterior.
Os invasores realizaram consultas de descoberta para reconhecimento, coletando dados sobre usuários, serviços ativos e configurações do sistema.
O ataque foi contido antes de avançar.
Esse caso ilustra que os atacantes não se limitam a frameworks C2 customizados, mas também fazem uso de ferramentas legítimas de segurança ofensiva para seus próprios fins.
Pesquisadores da Huntress afirmam que o Velociraptor dificilmente será a primeira ou última ferramenta open source de uso dual aproveitada em ataques.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...