Hackers visam PayPal, Netflix e TikTok com um novo golpe de phishing.

Usuários do PayPal, Netflix e TikTok se tornaram um novo alvo de phishing para hackers que utilizam uma nova ferramenta chamada Matrix Push C2.

Segundo relatos, a ferramenta é acessível por meio de um painel online. Isso permite que os hackers enviem notificações, traccada vítima em tempo real, determinem com quais notificações as vítimas interagiram e criem links encurtados usando um serviço integrado de encurtamento de URLs. Além disso, eles tracextensões de navegador instaladas, incluindo carteiras de criptomoedas.

Em um relatório, a pesquisadora da Blackfog, Brenda Robb, afirmou: “A essência do ataque é a engenharia social, e o Matrix Push C2 vem com modelos configuráveis ​​para maximizar a credibilidade de suas mensagens falsas […] Os atacantes podem facilmente personalizar suas notificações de phishing e páginas de destino para se passarem por empresas e serviços conhecidos.”

Outras marcas conhecidas que oferecem suporte a modelos de verificação de notificações são MetaMask e Cloudflare. A plataforma também inclui uma seção de "Análises e Relatórios" que permite aos clientes mensurar a eficácia de suas campanhas e otimizá-las conforme necessário.

O ataque se desenrola por meio do navegador da web como uma ameaça multiplataforma.

Quando o golpista convence a vítima a receber notificações do site, os atacantes se aproveitam do mecanismo de notificação push integrado ao navegador. Eles o utilizam para enviar alertas que parecem ter sido enviados pelo sistema operacional ou pelo próprio navegador. Isso se deve ao uso de marcas confiáveis, logotipos familiares e linguagem convincente para manter o golpe.

Isso inclui alertas sobre, por exemplo, logins suspeitos ou atualizações de navegador, juntamente com um prático botão "Verificar" ou "Atualizar" que, ao ser clicado, leva a vítima a um site falso.

Nesse ataque, todo o processo ocorre por meio do navegador, sem a necessidade de infectar previamente o sistema da vítima por outros meios. De certa forma, o ataque é semelhante ao ClickFix, pois os usuários são induzidos a seguir instruções específicas para comprometer seus próprios sistemas, burlando assim os controles de segurança tradicionais.

Além disso, como o ataque ocorre por meio do navegador da web, também é uma ameaça multiplataforma. Isso transforma efetivamente qualquer aplicativo de navegador em qualquer plataforma que se inscreva para receber as notificações maliciosas em um cliente cadastrado no conjunto de clientes, fornecendo aos adversários um canal de comunicação persistente.

O Matrix Push foi observado pela primeira vez no início de outubro e está ativo desde então. No entanto, não há evidências de versões antigas, marcas anteriores ou infraestrutura consolidada. Tudo indica que este é um kit recém-lançado.

O Telegram entra em cena nos negócios dos golpistas.

O Matrix Push C2 é vendido como um kit de malware como serviço (MaaS) para outros agentes maliciosos. Ele é vendido diretamente por meio de canais de crimeware, principalmente no Telegram e em fóruns de cibercrime. Existem diferentes níveis de assinatura: cerca de US$ 150 por mês, US$ 405 por três meses, US$ 765 por seis meses e US$ 1.500 por um ano inteiro.

Além disso, de acordo com o Dr. Darren Williams, fundador e CEO da BlackFog,  “Os pagamentos são aceitos em criptomoedas e os compradores se comunicam diretamente com a operadora para obter acesso”. Até mesmo a Europol alertou que o uso de criptoativos para atividades criminosas se tornou mais sofisticado.

O fundador do Telegram, Pavel Durov, foi responsabilizado pessoalmente por algumas das atividades ilícitas na plataforma de mensagens. Durov foi preso inicialmente em Paris como parte de uma investigação formal por suposto envolvimento em atividades criminosas no Telegram.

Investigadores franceses acusam a empresa de ser usada para comércio ilegal, distribuição de material de abuso sexual infantil e outras trocas ilícitas, além de se recusar a cooperar com as solicitações das autoridades. O Telegram continua a se provar um mercado para criminosos.

Cryptopolitan noticiou que a França revogou a proibição de viagem imposta a Pavel Durov, permitindo que ele viaje livremente. No entanto, a investigação criminal sobre sua plataforma de mensagens continua.

Recentemente, a X  descobriu e desmantelou uma rede de suborno administrada por usuários suspensos e golpistas de criptomoedas que supostamente pagavam "intermediários" para subornar funcionários em troca da reativação de suas contas.