Les cybercriminels ont lancé Matrix Push, une nouvelle plate-forme de commande et de contrôle qui exploite les notifications des navigateurs Web pour phishing les utilisateurs de services comme Netflix et PayPal, comme détaillé dans un Rapport de sécurité BlackFog. Cette attaque incite les victimes à révéler leurs informations d’identification via des alertes déguisées sur des sites Web compromis. Le paysage de la cybersécurité a présenté cette semaine de multiples menaces émergentes. Des rapports ont fait état de Sturnus, un nouveau cheval de Troie bancaire Android développé par des cybercriminels. Ce malware contourne les protocoles de cryptage pour accéder aux conversations sécurisées par messagerie instantanée. Il y parvient en lisant et en copiant le contenu lorsque des messages s’affichent sur l’écran du smartphone, permettant ainsi aux attaquants d’intercepter des informations sensibles lors d’une utilisation active. Les entreprises ont reçu des alertes concernant des attaques furtives par copier-coller. Ces exploits ciblent la fonction presse-papiers comme point d’entrée du code malveillant. Les attaquants insèrent des charges utiles nuisibles dans le texte copié, qui s’exécutent ensuite lorsque les utilisateurs collent le contenu dans des applications ou des documents, compromettant potentiellement les systèmes à l’insu de l’utilisateur. Matrix Push représente le dernier développement de cette série de tactiques trompeuses. Le rapport d’avertissement de menace de BlackFog Security l’identifie comme une infrastructure de commandement et de contrôle exploitée par des cybercriminels. La plate-forme diffuse des attaques de logiciels malveillants et de phishing exclusivement via des mécanismes de navigateur Web, évitant ainsi les méthodes de diffusion traditionnelles telles que les pièces jointes aux e-mails. Le fonctionnement de Matrix Push repose sur plusieurs exploits techniques. Il exploite les notifications push du navigateur pour envoyer des alertes non sollicitées aux utilisateurs. Ces notifications imitent les messages générés par le système d’exploitation ou le navigateur lui-même. Les attaquants utilisent également de fausses alertes système qui imitent les avertissements officiels. De plus, les redirections de liens lick-me guident les utilisateurs vers des pages malveillantes sous couvert d’interactions légitimes. Brenda Robb, de BlackFog Security, a expliqué le mécanisme de base : « En exploitant les notifications push du navigateur, les fausses alertes système et les redirections de liens lick-me, Matrix Push transforme les navigateurs Web en un véhicule de livraison d’attaques. » Cette transformation permet aux navigateurs de servir de vecteurs d’attaques continues, intégrant les menaces directement dans les interfaces utilisateur. Le processus de phishing démarre avec des techniques d’ingénierie sociale. Les cybercriminels dirigent leurs victimes potentielles vers un site Web entièrement malveillant ou légitime qui a été compromis à l’insu de son propriétaire. Les utilisateurs sont invités à accepter les notifications du navigateur de ce site. L’octroi de l’autorisation active la séquence d’attaque, donnant aux attaquants la possibilité de bombarder l’appareil avec des messages trompeurs. Une fois les autorisations obtenues, Matrix Push envoie des alertes personnalisées. Celles-ci apparaissent sous forme de notifications provenant de marques de confiance, se fondant parfaitement avec les invites authentiques de l’appareil. Robb a détaillé la portée : « Nous avons trouvé des modèles pour des marques telles que MetaMask, Netflix, Cloudflare, PayPal, TikTok, etc., chacun étant conçu pour ressembler à une notification légitime ou à une page de sécurité de ces fournisseurs. » Une telle usurpation d’identité renforce la tromperie, car les alertes s’intègrent dans la zone de notification standard de l’appareil. Ce placement dans le véritable flux de notification réduit la suspicion des utilisateurs. Les victimes perçoivent les messages comme des mises à jour ou des alertes de routine provenant des services auxquels elles sont abonnés. Cliquer sur ces invites redirige les utilisateurs vers des sites de phishing conçus pour capturer les informations de connexion. L’authenticité de l’apparence et de l’emplacement de la notification augmente considérablement le taux de réussite de ces tentatives de saisie d’informations d’identification. Les utilisateurs des services concernés ont accès à des ressources spécifiques pour se protéger. Netflix fournit des conseils sur les attaques de phishing sur sa page d’aide, décrivant les stratégies de reconnaissance et d’évitement. De même, PayPal gère une page d’aide dédiée contenant des conseils sur l’identification et la réponse aux tentatives de phishing, y compris les étapes de vérification des communications suspectes. Le rapport BlackFog souligne la persistance des menaces basées sur les navigateurs sur tous les systèmes d’exploitation. La conception de Matrix Push exploite des fonctionnalités Web universelles, le rendant compatible avec divers appareils et navigateurs. Les cybercriminels continuent d’affiner ces plateformes, en intégrant des modèles pour un éventail croissant de marques de premier plan afin d’élargir leur portée.
