O alerta que vira invasão: golpe usa notificações do navegador

Siga o Olhar Digital no Google Discover

Cibercriminosos têm usado o sistema de notificações dos navegadores para aplicar golpes sem depender de arquivos maliciosos. A técnica, descoberta pela empresa de segurança BlackFrog, envolve uma plataforma chamada Matrix Push C2, que transforma o recurso legítimo de push notifications num canal direto para ataques de phishing e distribuição de malware.

Ofertas

Vendido por Amazon

Carregador Fonte para Notebook Asus 19V 2.37A 45W com Pino Fino 4.0x1.35mm, compatível com VivoBook X543ua X543ma X515 X512 X510U ZenBook 14 UX433FA UX431FA X512F, referência Ad2108020 bivolt

De: R$ 67,44
Por: R$ 59,95

Vendido por Amazon

Garmin Relógio Venu 3 Branco 45mm com Monitor Cardíaco de Pulso e GPS

De: R$ 4.699,00
Por: R$ 3.099,00

Vendido por Amazon

eufy Câmera S3 Pro Kit 2+1 por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Energia Solar, Visão Noturna MaxColor, Reconhecimento Facial por IA, Compatível com Alexa, Sem taxas mensais

De: R$ 3.499,00
Por: R$ 3.324,00

Vendido por Amazon

eufy HomeBase3, Câmera de segurança, Reconhecimento Facial por IA, Armazenamento Local Expansível até 16TB, Criptografia Avançada, Ecossistema de Segurança eufy, Sem taxas mensais

De: R$ 1.049,00
Por: R$ 799,00

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Azul)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

Combo Teclado e Mouse sem fio Logitech POP Icon com Teclas e Botões Personalizáveis, Clique Silencioso, Easy-Switch para até 3 dispositivos e Conexão Bluetooth - Grafite

De: R$ 499,90
Por: R$ 349,90

Vendido por Amazon

eufy Câmera S330 (eufyCam 3) 2-Cam Kit por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Painel Solar, Forever Power, Reconhecimento Facial IA, Armazenamento Local Até 16TB, Sem Taxa Mensal

De: R$ 2.399,00
Por: R$ 2.159,00

Vendido por Amazon

soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios

De: R$ 339,00
Por: R$ 188,99

Vendido por Amazon

WB Smart Tag Localizador Bluetooth, Rastreador Compatível com o Apple Find My, bateria substituível, Localizador de itens para bolsas

De: R$ 88,00
Por: R$ 45,00

Vendido por Amazon

Anker Nano Carregador Portátil, Power Bank Compacto 10000mAh 45W Máx., Bateria Portátil Essencial para Viagens com Cabo Retrátil InstaCord de 70 cm para iPhone 17/16 Series, iPad, Galaxy, Pixel e Mais

De: R$ 399,00
Por: R$ 379,00

Vendido por Amazon

Capa com Teclado Combo Touch para iPad (10ª geração e A16) Com Teclado Retroiluminado Destacável com Suporte, Trackpad Preciso e Tecnologia Smart Connector - Cinza

De: R$ 1.629,90
Por: R$ 1.239,90

Vendido por Amazon

ULANZI VL-200Bi 200W luz de estúdio bicolor, luz de preenchimento COB, iluminação de saída contínua com controle de APP, 2700K-6500K, 6 cenas, montagem Bowens

De: R$ 1.179,00
Por: R$ 943,20

Vendido por Amazon

eufy Câmera S350, Camera de Segurança Wi-Fi, 4K Inteligente com Câmera Dupla, Visão 360°, Zoom 8×, Visão Noturna, Babá Eletrônica, Rastreamento por IA, Compatível com Alexa e HomeBase 3

De: R$ 999,00
Por: R$ 798,99

Vendido por Amazon

WAAW By ALOK Fone de Ouvido Bluetooth SENSE 310 Com Cancelamento de Ruído e Assistente de Voz, 30h de Bateria

De: R$ 329,90
Por: R$ 205,91

Vendido por Amazon

WAAW by ALOK Caixa de Som US 200SB DUO Bluetooth 2 em 1, Resistente à Água, Acabamento Metálico, TWS, 20W RMS

De: R$ 599,90
Por: R$ 476,10

Vendido por Amazon

Eufy Cam E340 Câmera De Segurança Wi-Fi Dual Band (2.4/5GHz) Exterior, 360° PTZ, Gravação 24/7, 2000 Lúmens, Detecção de Movimento + Sirene Integrada, Câmera Dupla, Sem Taxa Mensal, Branco

De: R$ 1.199,00
Por: R$ 1.139,05

Vendido por Amazon

Novo Kindle Paperwhite Signature Edition (32 GB) - O Kindle mais rápido já lançado, com luz frontal autoadaptável, carregamento sem fio e bateria que dura semanas - Cor Preta Metálica

De: R$ 1.199,00
Por: R$ 949,00

Vendido por Amazon

Cis Cola Em Bastão Fix 34 Gramas, Blister

De: R$ 9,60
Por: R$ 7,60

Vendido por Amazon

Estojo Escolar Organizador Box Grande Para Lapis Feminino Masculino Material Escolar (Azul)

Por R$ 38,70

Vendido por Amazon

Compasso Escolar 106-S, CIS, 18.7700, Estojo c/1 sortido (Não é possível escolher cor)

De: R$ 31,40
Por: R$ 21,77

Vendido por Amazon

Ecolapis Cor Pastel F.Castell 10 Cores, Faber-Castell, 120510P, Multicor, pacote de 10

De: R$ 21,00
Por: R$ 16,63

Vendido por Amazon

Tilibra - Estojo Box Académie Cinza

De: R$ 106,90
Por: R$ 59,95

Vendido por Amazon

Estojo Escolar Box Grande Organizador com Divisórias e Alça - Estojo Necessaire Unissex Capacidade Ampla para Lápis, Canetas, Material Escolar (Preto)

Por R$ 34,90

Vendido por Amazon

Chamequinho Papel A4, 75 g, 100 Folhas, Verde Sulfite

De: R$ 9,90
Por: R$ 7,20

Vendido por Amazon

Combo Teclado e Mouse Sem Fio Logitech MK250 Bluetooth com Conectividade Rápida e Fácil, Design Compacto, Mouse Ambidestro, Layout ABNT2, Construção Durável, Compatível com PC e Mac - Rosa

De: R$ 169,90
Por: R$ 139,90

Vendido por Amazon

Combo Teclado e Mouse sem fio Logitech MK235 com Conexão USB, Pilhas Inclusas e Layout ABNT2

De: R$ 149,90
Por: R$ 119,90

Vendido por Amazon

Anker MagGo Power Bank, Carregador Portátil com Certificação Qi2 de 15W, Compatível com MagSafe, 10.000mAh, Tela Inteligente e Suporte Dobrável, para iPhone 17/15/14/13/12, Inclui Cabo USB-C, Branco

De: R$ 699,00
Por: R$ 398,99

Vendido por Amazon

Mouse Sem Fio Logitech M330 SILENT com Clique Silencioso, Design Destro, Bateria de 18 Meses, Receptor USB, Compatível com Windows, macOS, ChromeOS e Pilha Inclusa - Preto

De: R$ 109,90
Por: R$ 79,90

Vendido por Amazon

Webcam Full HD Logitech Brio 100 com Microfone Integrado, Proteção de Privacidade, Correção Automática de Luz e Conexão USB-C - Grafite

De: R$ 299,90
Por: R$ 199,90

O golpe funciona em qualquer dispositivo que aceite notificações de navegadores, seja Windows, macOS, Linux ou Android. Ao enganar o usuário com mensagens que imitam avisos de segurança, os criminosos conseguem roubar credenciais, instalar malware persistente e até drenar carteiras de criptomoedas. 

Segundo a BlackFrog, a ameaça é mais perigosa porque permite inteligência em tempo real. O criminoso sabe o que o usuário faz no navegador e ajusta as iscas conforme a vítima interage. Assim, o “clique errado” deixa de ser um acidente e vira uma resposta induzida.

Como a Matrix Push C2 transforma notificações em canal de ataque

Em vez de tentar instalar algo silenciosamente no computador ou celular, os golpistas usam a Matrix Push C2 para disparar alertas falsos que parecem vindos do próprio sistema.

Assim, a plataforma funciona como um verdadeiro sistema de comando e controle (C2). Ou seja, o que deveria ser apenas uma ferramenta de alerta vira o ponto de partida para controlar a vítima.

O ataque começa com engenharia social. Ao visitar sites maliciosos ou páginas comprometidas, o usuário é induzido a permitir notificações do navegador, acreditando se tratar de uma atualização de segurança, um aviso do sistema ou um erro de software confiável. 

Esse único clique substitui o download de um programa malicioso. Isso porque não há arquivo inicial para detectar. O navegador faz o trabalho sujo por conta própria.

Após a liberação das notificações, o navegador vira uma linha direta e contínua com o criminoso. A partir daí, o invasor pode enviar mensagens falsas que imitam alertas de antivírus, avisos de atualização de navegador ou erros críticos do sistema. 

O visual é convincente e usa texto e ícones que reproduzem softwares conhecidos, como se fosse uma instrução urgente do próprio aparelho, conforme mostrado pela BlackFrog.

Quando a vítima interage com essas notificações, é direcionada para páginas controladas pelo criminoso. Ali, o golpe se completa: o usuário cai em sites de phishing para roubo de senhas ou em downloads que instalam malware, muitas vezes associado a fraudes financeiras. 

Em suma, é um ataque “fileless” (sem arquivo): ele não começa com um arquivo, mas sim com uma permissão.

Golpe profissionaliza phishing com painel, templates e análises de campanha

A Matrix Push C2 não é apenas uma ferramenta técnica, mas um produto comercial. A plataforma é vendida como malware-as-a-service (MaaS) em canais como fóruns clandestinos e grupos no Telegram. 

Os compradores pagam assinaturas que liberam recursos avançados, o que torna qualquer criminoso iniciante capaz de operar campanhas profissionais sem conhecimento técnico profundo.

O golpista acessa o serviço por meio de um painel web, similar a plataformas de marketing digital. Ali, o criminoso monitora suas vítimas em tempo real. Dá para ver:

• Quem recebeu as notificações;
• Quem clicou;
• Qual dispositivo está sendo usado;
• Qual navegador está ativo;
• Se há extensões de criptocarteiras instaladas. 

Tudo isso sem infectar o sistema com malware pesado. Como a análise é instantânea, os criminosos podem ajustar seus golpes conforme o comportamento das vítimas.

O serviço traz, ainda, templates configuráveis que imitam marcas conhecidas para dar credibilidade às mensagens falsas. Entre os modelos já identificados estão MetaMask, Netflix, Cloudflare, PayPal e TikTok. 

Esses templates copiam cores, logos e linguagem dessas empresas. Assim, fazem a notificação parecer legítima e reduzem o senso de alerta do usuário. O golpe ganha o tom de uma comunicação familiar. E, por isso, mais perigosa.

Leia mais:

• Amazon revela sistema de IA para caçar falhas antes de ciberataques
• Aprenda 5 cuidados que você deve ter ao usar Wi-Fi público
• 5 dicas para não cair em golpes com IA na Black Friday

O painel também oferece encurtador próprio de links e ferramentas de gestão de URLs, que permitem ao criminoso gerar endereços curtos e inofensivos para driblar filtros. Ao final, o sistema ainda mede desempenho, como se fosse uma campanha de marketing digital. 

O que fazer, então? A BlackFrog recomenda tecnologias de anti data exfiltration (ADX) para bloquear tráfego de saída suspeito. No fundo, o navegador vira o mensageiro do golpe. E a notificação, a mala direta da fraude.