Olhar Digital > Segurança e Privacidade > O alerta que vira invasão: golpe usa notificações do navegador

O alerta que vira invasão: golpe usa notificações do navegador

Golpistas exploram notificações push de navegadores para roubar senhas, instalar malware e até drenar carteiras de criptomoeda
Pedro Spadoni25/11/2025 10h52
malware
(Imagem: PUGUN SJ/iStock)
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Cibercriminosos têm usado o sistema de notificações dos navegadores para aplicar golpes sem depender de arquivos maliciosos. A técnica, descoberta pela empresa de segurança BlackFrog, envolve uma plataforma chamada Matrix Push C2, que transforma o recurso legítimo de push notifications num canal direto para ataques de phishing e distribuição de malware.

O golpe funciona em qualquer dispositivo que aceite notificações de navegadores, seja Windows, macOS, Linux ou Android. Ao enganar o usuário com mensagens que imitam avisos de segurança, os criminosos conseguem roubar credenciais, instalar malware persistente e até drenar carteiras de criptomoedas

Segundo a BlackFrog, a ameaça é mais perigosa porque permite inteligência em tempo real. O criminoso sabe o que o usuário faz no navegador e ajusta as iscas conforme a vítima interage. Assim, o “clique errado” deixa de ser um acidente e vira uma resposta induzida.

Como a Matrix Push C2 transforma notificações em canal de ataque

Em vez de tentar instalar algo silenciosamente no computador ou celular, os golpistas usam a Matrix Push C2 para disparar alertas falsos que parecem vindos do próprio sistema.

Captura de tela mostrando notificação de navegador usada em golpe
Golpistas usam plataforma para disparar alertas falsos em notificações de navegadores (Imagem: Reprodução/BlackFrog)

Assim, a plataforma funciona como um verdadeiro sistema de comando e controle (C2). Ou seja, o que deveria ser apenas uma ferramenta de alerta vira o ponto de partida para controlar a vítima.

O ataque começa com engenharia social. Ao visitar sites maliciosos ou páginas comprometidas, o usuário é induzido a permitir notificações do navegador, acreditando se tratar de uma atualização de segurança, um aviso do sistema ou um erro de software confiável. 

Esse único clique substitui o download de um programa malicioso. Isso porque não há arquivo inicial para detectar. O navegador faz o trabalho sujo por conta própria.

Após a liberação das notificações, o navegador vira uma linha direta e contínua com o criminoso. A partir daí, o invasor pode enviar mensagens falsas que imitam alertas de antivírus, avisos de atualização de navegador ou erros críticos do sistema. 

O visual é convincente e usa texto e ícones que reproduzem softwares conhecidos, como se fosse uma instrução urgente do próprio aparelho, conforme mostrado pela BlackFrog.

Quando a vítima interage com essas notificações, é direcionada para páginas controladas pelo criminoso. Ali, o golpe se completa: o usuário cai em sites de phishing para roubo de senhas ou em downloads que instalam malware, muitas vezes associado a fraudes financeiras. 

Em suma, é um ataque “fileless (sem arquivo): ele não começa com um arquivo, mas sim com uma permissão.

Golpe profissionaliza phishing com painel, templates e análises de campanha

A Matrix Push C2 não é apenas uma ferramenta técnica, mas um produto comercial. A plataforma é vendida como malware-as-a-service (MaaS) em canais como fóruns clandestinos e grupos no Telegram. 

Os compradores pagam assinaturas que liberam recursos avançados, o que torna qualquer criminoso iniciante capaz de operar campanhas profissionais sem conhecimento técnico profundo.

Captura de tela mostrando dashboard da plataforma Matrix Push C2 usada em golpes com notificações de navegadores
A Matrix Push C2 oferece um painel no qual criminosos podem monitorar vítimas em tempo real (Imagem: Reprodução/BlackFrog)

O golpista acessa o serviço por meio de um painel web, similar a plataformas de marketing digital. Ali, o criminoso monitora suas vítimas em tempo real. Dá para ver:

  • Quem recebeu as notificações;
  • Quem clicou;
  • Qual dispositivo está sendo usado;
  • Qual navegador está ativo;
  • Se há extensões de criptocarteiras instaladas

Tudo isso sem infectar o sistema com malware pesado. Como a análise é instantânea, os criminosos podem ajustar seus golpes conforme o comportamento das vítimas.

O serviço traz, ainda, templates configuráveis que imitam marcas conhecidas para dar credibilidade às mensagens falsas. Entre os modelos já identificados estão MetaMask, Netflix, Cloudflare, PayPal e TikTok

Esses templates copiam cores, logos e linguagem dessas empresas. Assim, fazem a notificação parecer legítima e reduzem o senso de alerta do usuário. O golpe ganha o tom de uma comunicação familiar. E, por isso, mais perigosa.

Leia mais:

O painel também oferece encurtador próprio de links e ferramentas de gestão de URLs, que permitem ao criminoso gerar endereços curtos e inofensivos para driblar filtros. Ao final, o sistema ainda mede desempenho, como se fosse uma campanha de marketing digital. 

O que fazer, então? A BlackFrog recomenda tecnologias de anti data exfiltration (ADX) para bloquear tráfego de saída suspeito. No fundo, o navegador vira o mensageiro do golpe. E a notificação, a mala direta da fraude.

Pedro Spadoni
Redator(a)
Pedro Spadoni no Instagram Pedro Spadoni no LinkedIn

Pedro Spadoni é jornalista formado pela Universidade Metodista de Piracicaba (Unimep). Já escreveu para sites, revistas e até um jornal. No Olhar Digital, escreve sobre (quase) tudo.

Ícone tagsTags: