Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós OneClik

Programari maliciós OneClik

El Mezo el Programari maliciós
Traduir a:

Una sofisticada campanya cibernètica anomenada OneClik té com a objectiu els sectors de l'energia, el petroli i el gas mitjançant una combinació de mètodes de desplegament enganyosos i programari maliciós personalitzat. Al centre d'aquesta operació hi ha l'abús de la tecnologia ClickOnce de Microsoft i una potent porta del darrere basada en Golang anomenada RunnerBeacon. Tot i que els indicadors suggereixen un possible vincle amb actors d'amenaces xinesos, l'atribució continua sent provisional.

ClickOnce: una eina de desplegament de doble tall

ClickOnce de Microsoft està dissenyat per simplificar el procés de desplegament i actualització de les aplicacions de Windows, permetent instal·lacions amb una interacció mínima de l'usuari. Introduïda a .NET Framework 2.0, aquesta funció permet que les aplicacions s'executin amb permisos limitats sense necessitat de drets administratius.

Malauradament, aquesta comoditat també ha convertit ClickOnce en un actiu valuós per als ciberdelinqüents. Les aplicacions malicioses es poden implementar mitjançant un binari de Windows de confiança (dfsvc.exe), que gestiona les aplicacions ClickOnce. Aquestes aplicacions s'executen com a procés fill de dfsvc.exe, cosa que permet als atacants executar codi maliciós de manera furtiva sense activar alarmes de seguretat ni necessitar privilegis elevats.

Tàctiques d’infiltració: suplantació d’identitat i engany

La cadena d'atac comença amb correus electrònics de phishing ben elaborats que atrauen les víctimes a un lloc web d'anàlisi de maquinari fals. Un cop la víctima visita el lloc web, es lliura i s'inicia una aplicació ClickOnce maliciosa mitjançant dfsvc.exe.

Aquest carregador injecta codi maliciós a la memòria mitjançant un mètode conegut com a injecció d'AppDomainManager, cosa que resulta en l'execució d'un shellcode xifrat. La càrrega útil definitiva és RunnerBeacon, una sofisticada porta del darrere Golang.

RunnerBeacon: un implant potent i versàtil

La porta del darrere RunnerBeacon està dissenyada per admetre una àmplia gamma de capacitats, com ara:

  • Comunicació a través de múltiples protocols: HTTP(S), WebSockets, TCP en brut i canonades amb nom SMB
  • Execució d'ordres de shell i operacions del sistema de fitxers
  • Enumeració i terminació de processos
  • Escalada de privilegis mitjançant robatori de tokens i suplantació d'identitat
  • Moviment lateral dins d'una xarxa

També inclou tècniques avançades d'antianàlisi i evasió, juntament amb compatibilitat amb operacions centrades en la xarxa com ara l'escaneig de ports, el reenviament de ports i el proxy SOCKS5.

Un clon de Geacon?

RunnerBeacon presenta fortes similituds amb les variants de Cobalt Strike basades en Go com ara Geacon, Geacon Plus i Geacon Pro. Reflecteix les seves estructures de comandament, les funcions de comunicació entre protocols i la flexibilitat operativa. Aquests trets suggereixen que RunnerBeacon podria ser una bifurcació personalitzada o evolucionada de Geacon, refinada per integrar-se perfectament en entorns de núvol.

Amenaça en evolució: s’han detectat múltiples variants

Només el març del 2025, investigadors de ciberseguretat van identificar tres variants diferents de OneClik:

  • versió 1a
  • BPI-MDM
  • versió 1d

Cada versió inclou millores que milloren els sistemes de detecció furtiva i de bypass. Tanmateix, ja es van descobrir rastres de RunnerBeacon el setembre de 2023 en una empresa del sector petrolier i gasístic de l'Orient Mitjà, cosa que indica un desenvolupament i proves en curs.

Tècniques i atribució: familiars però no confirmades

L'ús de la injecció d'AppDomainManager és una tàctica ben documentada i s'ha observat anteriorment en campanyes cibernètiques associades amb actors d'amenaces xinesos i nord-coreans. Tanmateix, malgrat les similituds en la tècnica i l'enfocament, els investigadors no han pogut atribuir de manera concloent la campanya OneClik a cap grup conegut.

Pel que fa a la identificació de signes de compromís, les organitzacions haurien d'estar alerta pels correus electrònics de phishing que dirigeixen els destinataris a llocs web d'anàlisi de maquinari fraudulents, ja que aquests solen ser els punts d'entrada inicials de l'atac. Una altra bandera vermella és l'ús d'aplicacions ClickOnce llançades a través del procés dfsvc.exe, que pot indicar la presència de càrregues útils malicioses. El desplegament sospitós de tècniques d'injecció d'AppDomainManager i les connexions de sortida a la infraestructura controlada per l'atacant allotjada a Amazon Web Services (AWS) també són indicadors forts de compromís.

Per defensar-se contra aquestes amenaces, les empreses haurien de considerar la possibilitat de desactivar o supervisar de prop les implementacions de ClickOnce, especialment en entorns d'alt risc. Els equips de seguretat haurien de vigilar els processos secundaris anòmals derivats de dfsvc.exe, que podrien indicar activitat maliciosa. La implementació de solucions de detecció i resposta de punts finals (EDR) pot ajudar a identificar i mitigar els comportaments d'injecció d'AppDomain. A més, examinar el trànsit de xarxa per detectar l'ús inusual de protocols, com ara un comportament inesperat de proxy o intents de reenviament de ports, pot ajudar a detectar canals de comunicació encoberts.

Conclusió

La campanya OneClik subratlla com els adversaris estan refinant contínuament les seves tàctiques per explotar tecnologies legítimes. Per a les organitzacions dins dels sectors d'infraestructures crítiques, mantenir una postura vigilant i implementar defenses de seguretat multicapa continua sent essencial per mitigar l'impacte d'aquestes amenaces avançades.

 

Tendència

Més vist

Carregant...