Gli utenti di PayPal, Netflix e TikTok sono diventati un nuovo bersaglio di phishing per gli hacker che utilizzano un nuovo strumento chiamato Matrix Push C2.
Secondo quanto riportato, lo strumento è accessibile tramite una dashboard web. Ciò consente agli hacker di inviare notifiche, tracciare ogni vittima in tempo reale, determinare con quali notifiche le vittime hanno interagito e creare link abbreviati utilizzando un servizio di abbreviazione URL integrato. Inoltre, tracciano le estensioni del browser installate, inclusi i wallet di criptovalute.
In un rapporto, la ricercatrice di Blackfog Brenda Robb ha affermato: "Il fulcro dell'attacco è l'ingegneria sociale e Matrix Push C2 è dotato di modelli configurabili per massimizzare la credibilità dei suoi falsi messaggi […] Gli aggressori possono facilmente personalizzare le loro notifiche di phishing e le landing page per impersonare aziende e servizi noti".
Altri marchi noti che supportano i modelli di verifica delle notifiche sono MetaMask e Cloudflare . La piattaforma include anche una sezione "Analisi e report" che consente ai clienti di misurare l'efficacia delle proprie campagne e perfezionarle secondo necessità.
L'attacco avviene tramite il browser web come minaccia multipiattaforma
Quando il truffatore riesce a far sì che la vittima riceva notifiche dal sito, sfrutta il meccanismo di notifica push integrato nel browser web. Lo utilizza per inviare avvisi che sembrano essere stati inviati dal sistema operativo o dal browser stesso. Questo sfrutta un marchio affidabile, loghi familiari e un linguaggio convincente per mantenere l'inganno.
Tra questi rientrano avvisi su, ad esempio, accessi sospetti o aggiornamenti del browser, insieme a un comodo pulsante "Verifica" o "Aggiorna" che, se cliccato, indirizza la vittima a un sito fasullo.
Con questo attacco, l'intero processo avviene tramite il browser, senza la necessità di infettare prima il sistema della vittima con altri mezzi. In un certo senso, l'attacco è simile a ClickFix, in quanto gli utenti vengono indotti a seguire istruzioni specifiche per compromettere i propri sistemi, aggirando così i controlli di sicurezza tradizionali.
Inoltre, poiché l'attacco avviene tramite il browser web, si tratta anche di una minaccia multipiattaforma. Questo trasforma di fatto qualsiasi applicazione browser su qualsiasi piattaforma che si iscriva alle notifiche dannose in un client inserito nel pool di client, offrendo agli aggressori un canale di comunicazione persistente.
Matrix Push è stato osservato per la prima volta all'inizio di ottobre e da allora è attivo. Tuttavia, non ci sono prove di versioni precedenti, marchi precedenti o infrastrutture di lunga data. Tutto indica che si tratta di un kit appena lanciato.
Telegram entra in gioco nel business dei truffatori
Matrix Push C2 viene venduto come kit malware-as-a-service (MaaS) ad altri autori di minacce. Viene venduto direttamente tramite canali crimeware, principalmente su Telegram e forum dedicati alla criminalità informatica. Sono disponibili diversi livelli di abbonamento: circa 150 dollari al mese, 405 dollari per tre mesi, 765 dollari per sei mesi e 1.500 dollari per un anno intero.
Inoltre, secondo il dott. Darren Williams, fondatore e CEO di BlackFog, "I pagamenti vengono accettati in criptovaluta e gli acquirenti comunicano direttamente con l'operatore per l'accesso". Persino l'Europol ha avvertito che l'uso di criptovalute per attività criminali è diventato più sofisticato.
Il fondatore di Telegram, Pavel Durov, è stato ritenuto personalmente responsabile di alcune attività illecite sulla piattaforma di messaggistica. Durov è stato arrestato per la prima volta a Parigi nell'ambito di un'indagine formale per presunto coinvolgimento in attività criminali su Telegram.
Gli inquirenti francesi accusano l'azienda di essere utilizzata per il commercio illegale, lo sfruttamento sessuale di minori e altri scambi illeciti, e di non aver collaborato alle richieste delle forze dell'ordine. Telegram continua a dimostrare di essere un mercato criminale.
Cryptopolitan ha riferito che la Francia ha revocato il divieto di viaggio imposto a Pavel Durov, consentendogli ora di viaggiare liberamente. Tuttavia, l'indagine penale sulla sua piattaforma di messaggistica è ancora in corso.
Di recente, X ha scoperto e smantellato una rete di corruzione gestita da utenti sospesi e truffatori di criptovalute che avrebbero pagato degli "intermediari" per corrompere i dipendenti in cambio del ripristino degli account.
Affina la tua strategia con tutoraggio + idee quotidiane – 30 giorni di accesso gratuito al nostro programma di trading