Ferramentas únicas para um ataque lançado

Fake Phishing BSOD Page

22/01/2026

Escrevi esse código para implementar um ataque de phishing / social engineering do tipo "fake BSOD + clipboard hijacking", focado em coagir o usuário a executar um comando local no Windows, explorando medo, urgência e confusão.
Vou explicar por camadas.

1. Vetor principal do ataque

O ataque não explora uma vulnerabilidade técnica do navegador ou do Windows.
Ele explora comportamento humano.

O objetivo final é:

Fazer o usuário executar manualmente um comando PowerShell acreditando estar seguindo instruções legítimas do Windows.

2. Engenharia social (parte visual)

Simulação de BSOD (Tela Azul do Windows)

  • Interface replica com alta fidelidade:

    • Cor (#0078D7)

    • Tipografia (Segoe UI)

    • Ícone ":("

    • Linguagem oficial do Windows

    • "Step code" falso (0x00000fVA)

Isso cria:

  • Autoridade ("parece o Windows")

  • Urgência ("Your PC ran into a problem")

  • Medo de perda de dados

3. Aprisionamento da sessão (Browser Lock / Page Lock)

O código tenta simular um travamento real do sistema, quando na verdade é apenas o navegador.

Técnicas usadas:

a) Fullscreen forçado e persistente

  • requestFullscreen() automático

  • Monitoramento agressivo:

    • setInterval a cada 100 ms

    • Reativa fullscreen se o usuário tentar sair

b) Bloqueio de mouse

  • Todos os eventos (click, mousemove, wheel, etc.) são interceptados

  • Cursor invisível

  • Overlay transparente (blocker-overlay) acima de tudo

c) Bloqueio de teclado

  • Bloqueia:

    • Alt+Tab

    • Alt+F4

    • Ctrl+R

    • F5

    • F12

    • Ctrl+Shift+I/J/C

  • Impede qualquer atalho comum de saída ou inspeção

Resultado:

O usuário acredita que o computador travou, não apenas o navegador.

4. Clipboard hijacking (ponto crítico)

Logo ao carregar a página:

const psCommand = "powershell -c start calc"; navigator.clipboard.writeText(psCommand);

Isso faz:

  • Copia silenciosamente um comando PowerShell para a área de transferência

  • O usuário não vê isso acontecer

5. Cadeia de execução induzida

As instruções exibidas ao usuário são engenharia social pura, mas tecnicamente precisas:

  1. Win + R

    • Abre o "Executar" do Windows (fora do navegador)

  2. Ctrl + V

    • Cola o conteúdo do clipboard (já envenenado)

  3. Enter

    • Executa o comando no sistema operacional

Nesse exemplo:

powershell -c start calc

É apenas um payload de prova de conceito.

Na prática, poderia ser:

  • Download de malware

  • Execução de script remoto

  • Persistência

  • C2

  • Credential harvesting

  • Ransomware loader

6. Por que isso funciona na prática

Porque:

  • Não depende de exploit

  • Não dispara antivírus no navegador

  • Usa funcionalidades legítimas:

    • Fullscreen API

    • Clipboard API

    • Eventos DOM

  • A execução final é feita pelo próprio usuário

Do ponto de vista do sistema:

"O usuário abriu o Executar e colou um comando."

7. Limitações técnicas (importante)

Apesar de parecer "agressivo", o ataque não é onipotente:

  • Não consegue:

    • Bloquear Ctrl+Alt+Del

    • Impedir fechamento forçado do navegador

    • Impedir encerramento do processo pelo Task Manager

  • Fullscreen pode falhar em alguns browsers modernos

  • Clipboard exige contexto seguro em versões mais novas

Ou seja:

É coercitivo, não absoluto.

8. Classificação do ataque

Tecnicamente, isso se enquadra como:

  • Social Engineering

  • Clipboard Injection / Clipboard Hijacking

  • Browser Locker (Fake System Lock)

  • Scareware

  • Initial Access – User Execution (MITRE ATT&CK: T1204)

9. Resumo em uma frase

Este ataque simula uma falha crítica do Windows para aprisionar o usuário no navegador, injeta um comando no clipboard e o induz a executá-lo manualmente no sistema, sem explorar nenhuma vulnerabilidade técnica.

Técnicas MITRE ATT&CK

Durante o desenvolvimento e análise dos artefatos apresentados neste projeto, é possível correlacionar comportamentos e abordagens com técnicas descritas no framework MITRE ATT&CK, utilizado amplamente para modelar, classificar e compreender táticas e técnicas empregadas em cenários reais de ataque.

⚙️ Tática: Initial Access

  • T1566 – Phishing

    • Uso de páginas HTML falsas com aparência legítima para induzir ações do usuário.

    • Simulação visual de erros de sistema para aumentar a credibilidade.

⚙️ Tática: Execution

  • T1059 – Command and Scripting Interpreter

    • Indução do usuário a executar comandos via PowerShell ou interpretadores nativos do sistema operacional.

  • T1204 – User Execution

    • Dependência direta da interação do usuário para execução do comando apresentado.

⚙️ Tática: Defense Evasion

  • T1036 – Masquerading

    • Disfarce visual da página como um erro legítimo do sistema operacional.

  • T1070 – Indicator Removal on Host (conceitual)

    • Uso de artefatos temporários e não persistentes, sem escrita direta em disco pelo código HTML.

⚙️ Tática: Impact

  • T1491 – Defacement

    • Substituição visual da interface original por uma tela falsa, simulando falha crítica.

  • T1499 – Endpoint Denial of Service (simulado)

    • Bloqueio de interação do usuário (teclado, mouse, fullscreen), causando indisponibilidade temporária da interface.

⚙️ Tática: Social Engineering (relacionada)

  • Embora não seja uma tática formal do MITRE ATT&CK, o comportamento explora engenharia social ao:

    • Criar urgência psicológica

    • Simular autoridade do sistema

    • Induzir ações sem questionamento técnico

Crie seu site grátis! Este site foi criado com Webnode. Crie um grátis para você também! Comece agora