Preventivo sconto multi-licenza
Database delle minacce Malware Malware OneClik

Malware OneClik

Entro Mezo nel Malware
Traduci in:

Una sofisticata campagna informatica denominata OneClik sta prendendo di mira i settori energetico, petrolifero e del gas utilizzando una combinazione di metodi di distribuzione ingannevoli e malware personalizzati. Al centro di questa operazione c'è l'abuso della tecnologia ClickOnce di Microsoft e di una potente backdoor basata su Golang chiamata RunnerBeacon. Sebbene gli indicatori suggeriscano un possibile collegamento con gli autori delle minacce cinesi, l'attribuzione rimane provvisoria.

ClickOnce: uno strumento di distribuzione a doppio taglio

ClickOnce di Microsoft è progettato per semplificare il processo di distribuzione e aggiornamento delle applicazioni Windows, consentendo installazioni con un'interazione minima da parte dell'utente. Introdotta in .NET Framework 2.0, questa funzionalità consente l'esecuzione delle app con autorizzazioni limitate, senza richiedere diritti amministrativi.

Purtroppo, questa praticità ha reso ClickOnce una risorsa preziosa anche per i criminali informatici. Le applicazioni dannose possono essere distribuite utilizzando un binario Windows affidabile (dfsvc.exe), che gestisce le app ClickOnce. Queste app vengono eseguite come processi figlio di dfsvc.exe, consentendo agli aggressori di eseguire furtivamente codice dannoso senza attivare allarmi di sicurezza o richiedere privilegi elevati.

Tattiche di infiltrazione: phishing e inganno

La catena di attacco inizia con email di phishing ben congegnate che attirano le vittime su un falso sito di analisi hardware. Una volta che la vittima visita il sito, viene distribuita e avviata un'applicazione ClickOnce dannosa tramite dfsvc.exe.

Questo loader inietta codice dannoso nella memoria utilizzando un metodo noto come iniezione di AppDomainManager, con conseguente esecuzione di uno shellcode crittografato. Il payload principale è RunnerBeacon, una sofisticata backdoor Golang.

RunnerBeacon: un impianto potente e versatile

La backdoor RunnerBeacon è progettata per supportare un'ampia gamma di funzionalità, tra cui:

  • Comunicazione su più protocolli: HTTP(S), WebSocket, TCP raw e pipe denominate SMB
  • Esecuzione di comandi shell e operazioni sul file system
  • Enumerazione e terminazione del processo
  • Escalation dei privilegi tramite furto di token e impersonificazione
  • Movimento laterale all'interno di una rete

Dispone inoltre di tecniche avanzate di anti-analisi ed evasione, oltre al supporto per operazioni incentrate sulla rete come la scansione delle porte, l'inoltro delle porte e il proxy SOCKS5.

Un clone di Geacon?

RunnerBeacon presenta forti somiglianze con le varianti di Cobalt Strike basate su Go, come Geacon, Geacon Plus e Geacon Pro. Ne rispecchia le strutture di comando, le funzionalità di comunicazione multiprotocollo e la flessibilità operativa. Queste caratteristiche suggeriscono che RunnerBeacon potrebbe essere un fork personalizzato o evoluto di Geacon, perfezionato per integrarsi perfettamente negli ambienti cloud.

Minaccia in evoluzione: rilevate più varianti

Solo nel marzo 2025, i ricercatori di sicurezza informatica hanno identificato tre distinte varianti di OneClik:

  • versione 1a
  • BPI-MDM
  • v1d

Ogni versione include perfezionamenti che potenziano la furtività e bypassano i sistemi di rilevamento. Tuttavia, tracce di RunnerBeacon sono già state scoperte nel settembre 2023 presso un'azienda del settore petrolifero e del gas in Medio Oriente, a indicare che sono in corso sviluppi e test.

Tecniche e attribuzione: familiari ma non confermate

L'uso dell'iniezione di AppDomainManager è una tattica ben documentata ed è stata precedentemente osservata in campagne informatiche associate ad autori di minacce cinesi e nordcoreane. Tuttavia, nonostante le somiglianze nella tecnica e nell'approccio, i ricercatori non sono stati in grado di attribuire in modo definitivo la campagna OneClik ad alcun gruppo noto.

Per quanto riguarda l'identificazione dei segnali di compromissione, le organizzazioni dovrebbero prestare attenzione alle email di phishing che indirizzano i destinatari a siti web fraudolenti di analisi hardware, poiché questi rappresentano spesso i punti di ingresso iniziali per l'attacco. Un altro campanello d'allarme è l'utilizzo di applicazioni ClickOnce avviate tramite il processo dfsvc.exe, che potrebbe indicare la presenza di payload dannosi. Anche l'implementazione sospetta di tecniche di iniezione di AppDomainManager e le connessioni in uscita verso infrastrutture controllate dagli aggressori ospitate su Amazon Web Services (AWS) sono forti indicatori di compromissione.

Per difendersi da tali minacce, le aziende dovrebbero valutare la possibilità di disabilitare o monitorare attentamente le distribuzioni ClickOnce, in particolare in ambienti ad alto rischio. I team di sicurezza dovrebbero monitorare attentamente i processi figlio anomali derivanti da dfsvc.exe, che potrebbero segnalare attività dannose. L'implementazione di soluzioni di rilevamento e risposta agli endpoint (EDR) può aiutare a identificare e mitigare i comportamenti di iniezione in AppDomain. Inoltre, l'analisi del traffico di rete per individuare utilizzi insoliti del protocollo, come comportamenti proxy imprevisti o tentativi di port forwarding, può aiutare a rilevare canali di comunicazione nascosti.

Conclusione

La campagna OneClik sottolinea come gli aggressori stiano continuamente affinando le loro tattiche per sfruttare tecnologie legittime. Per le organizzazioni che operano nei settori delle infrastrutture critiche, mantenere un atteggiamento vigile e implementare difese di sicurezza multilivello rimane essenziale per mitigare l'impatto di queste minacce avanzate.

 

Tendenza

I più visti

Caricamento in corso...