Una investigación de BlackFog reveló la aparición de Matrix Push, una plataforma de comando y control (C2) diseñada para convertir las notificaciones legítimas de los navegadores en armas de phishing altamente convincentes. Su apariencia amigable, interfaz cuidada y facilidad de uso la posicionan como una herramienta peligrosa para campañas de ingeniería social a gran escala.
1. Una plataforma C2 disfrazada de software profesional
Matrix Push destaca por su diseño pulido, similar a un software comercial, pero su función principal es habilitar que atacantes:
Generen notificaciones falsas desde navegadores legítimos
Redirijan a usuarios a sitios maliciosos
Imitem marcas populares como PayPal, MetaMask, Cloudflare, TikTok o Netflix
Todo esto desde un panel con estética retro donde pueden crear notificaciones, diseñar páginas de aterrizaje y monitorear a sus víctimas en tiempo real.
El dashboard muestra información crítica para los atacantes:
Cantidad total de víctimas
Geolocalización
IPs
Navegadores y sistemas operativos
Wallets de criptomonedas utilizados
Estado online/offline
Última interacción con una notificación falsa
Estos datos les permiten apuntar a los usuarios en los momentos donde es más probable que caigan en el engaño.
2. Cómo secuestran las notificaciones del navegador
El proceso de ataque depende de un solo paso crítico: que el usuario acepte recibir notificaciones de un sitio controlado por el atacante.
Fase de infección:
El usuario es engañado para visitar un sitio malicioso o comprometido.
El sitio solicita permiso para enviar notificaciones (igual que un sitio legítimo).
Si el usuario acepta:
Se registra un service worker
Se crea una suscripción Push API
Esa información se envía al C2 Matrix Push
Una vez concedido el permiso, el atacante puede enviar cualquier tipo de notificación maliciosa, utilizando la infraestructura legítima del navegador.
Darren Williams, CEO de BlackFog, explica que esta técnica es tan efectiva porque:
El tráfico de notificaciones es cifrado y legítimo
No requiere binarios maliciosos
La única parte maliciosa es el contenido, que cambia rápido y evade detecciones
En otras palabras, la puerta está abierta porque el propio usuario la abrió.
3. Un modelo de negocio al estilo SaaS criminal
Matrix Push apareció recientemente en canales de Telegram y foros de la Dark Web, donde se comercializa por suscripción:
$150/mes
$405 por 3 meses
$765 por 6 meses
$1,500 por un año
El marketing está claramente dirigido a actores financieros que buscan campañas masivas:
Robo de credenciales
Fraude de pago
Estafas con criptomonedas
Ingeniera social a gran escala
Su diseño multiplataforma, compatible con cualquier navegador y sistema operativo, facilita su adopción en campañas globales sin restricciones técnicas.
4. ¿Cómo contener una herramienta tan flexible?
Detener abusos como Matrix Push requiere acción coordinada entre varios actores del ecosistema:
Responsabilidad de desarrolladores de navegadores
Implementar sistemas de reputación para sitios sospechosos
Revocar permisos de forma automática a webs abusivas
Mejorar las advertencias para solicitudes de notificaciones
Rol de los proveedores de seguridad
Detectar y bloquear infraestructura asociada a Matrix Push
Permitir controlar o desactivar el uso de Web Push en entornos corporativos
Buenas prácticas para usuarios y organizaciones
Evitar conceder permisos de notificaciones innecesarias
Revisar periódicamente qué sitios tienen permisos activos
Bloquear o limitar Web Push desde navegadores corporativos
Emplear capacitación antifraude enfocada en este tipo de tácticas
Conclusión
Matrix Push marca un nuevo capítulo en la transformación de funciones legítimas del navegador en vectores de ataque. Su facilidad de uso, enfoque multiplataforma y capacidad para automatizar campañas la convierten en una herramienta peligrosa para organizaciones y usuarios finales.
La defensa frente a esta amenaza exige mayor control sobre las notificaciones web, detección de infraestructura maliciosa y una cultura que enseñe a no aceptar permisos sin verificar su origen.
