Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware OneClick

Malware OneClick

Por Mezo em Malware
Traduzir Para:

Uma sofisticada campanha cibernética, batizada de OneClik, tem como alvo os setores de energia, petróleo e gás, utilizando uma combinação de métodos enganosos de implantação e malware personalizado. No cerne dessa operação está o abuso da tecnologia ClickOnce da Microsoft e de um poderoso backdoor baseado em Golang, chamado RunnerBeacon. Embora os indicadores sugiram uma possível ligação com agentes de ameaças chineses, a atribuição ainda é incerta.

ClickOnce: Uma ferramenta de implantação de dois gumes

O ClickOnce da Microsoft foi projetado para simplificar o processo de implantação e atualização de aplicativos Windows, permitindo instalações com interação mínima do usuário. Introduzido no .NET Framework 2.0, esse recurso permite que aplicativos sejam executados com permissões limitadas sem a necessidade de direitos administrativos.

Infelizmente, essa conveniência também tornou o ClickOnce um recurso valioso para cibercriminosos. Aplicativos maliciosos podem ser implantados usando um binário confiável do Windows (dfsvc.exe), que gerencia os aplicativos ClickOnce. Esses aplicativos são executados como um processo filho do dfsvc.exe, permitindo que invasores executem códigos maliciosos furtivamente sem disparar alarmes de segurança ou precisar de privilégios elevados.

Táticas de infiltração: phishing e engano

A cadeia de ataque começa com e-mails de phishing bem elaborados que atraem as vítimas para um site falso de análise de hardware. Assim que a vítima acessa o site, um aplicativo ClickOnce malicioso é instalado e iniciado usando o dfsvc.exe.

Este carregador injeta código malicioso na memória usando um método conhecido como injeção de AppDomainManager, resultando na execução de um shellcode criptografado. O payload final é o RunnerBeacon, um sofisticado backdoor Golang.

RunnerBeacon: Um implante poderoso e versátil

O backdoor RunnerBeacon foi criado para oferecer suporte a uma ampla gama de recursos, incluindo:

  • Comunicação por meio de vários protocolos: HTTP(S), WebSockets, TCP bruto e pipes nomeados SMB
  • Execução de comandos de shell e operações do sistema de arquivos
  • Enumeração e término de processos
  • Escalonamento de privilégios por meio de roubo de token e representação
  • Movimento lateral dentro de uma rede

Ele também apresenta técnicas avançadas de antianálise e evasão, além de suporte para operações centradas em rede, como varredura de porta, encaminhamento de porta e proxy SOCKS5.

Um clone de Geacon?

O RunnerBeacon apresenta fortes semelhanças com variantes do Cobalt Strike baseadas em Go, como Geacon, Geacon Plus e Geacon Pro. Ele espelha suas estruturas de comando, recursos de comunicação entre protocolos e flexibilidade operacional. Essas características sugerem que o RunnerBeacon pode ser uma versão personalizada ou evoluída do Geacon, refinada para se integrar perfeitamente a ambientes de nuvem.

Ameaça em evolução: múltiplas variantes detectadas

Pesquisadores de segurança cibernética identificaram três variantes distintas do OneClik somente em março de 2025:

  • v1a
  • BPI-MDM
  • v1d

Cada versão inclui melhorias que aprimoram os sistemas de detecção furtiva e de bypass. No entanto, vestígios do RunnerBeacon já foram descobertos em setembro de 2023 em uma empresa do setor de petróleo e gás do Oriente Médio, indicando desenvolvimento e testes em andamento.

Técnicas e Atribuição: Familiares, mas não confirmadas

O uso da injeção de AppDomainManager é uma tática bem documentada e já foi observada em campanhas cibernéticas associadas a agentes de ameaças chineses e norte-coreanos. No entanto, apesar das semelhanças na técnica e na abordagem, os pesquisadores não conseguiram atribuir conclusivamente a campanha OneClik a nenhum grupo conhecido.

Para identificar sinais de comprometimento, as organizações devem estar atentas a e-mails de phishing que direcionam os destinatários para sites fraudulentos de análise de hardware, pois esses costumam ser os pontos de entrada iniciais do ataque. Outro sinal de alerta é o uso de aplicativos ClickOnce iniciados por meio do processo dfsvc.exe, que pode indicar a presença de payloads maliciosos. A implantação suspeita de técnicas de injeção do AppDomainManager e conexões de saída para infraestrutura controlada pelo invasor hospedada na Amazon Web Services (AWS) também são fortes indicadores de comprometimento.

Para se defender contra tais ameaças, as empresas devem considerar desabilitar ou monitorar de perto as implantações do ClickOnce, especialmente em ambientes de alto risco. As equipes de segurança devem ficar atentas a processos filho anômalos originados do dfsvc.exe, que podem indicar atividade maliciosa. A implantação de soluções de detecção e resposta de endpoint (EDR) pode ajudar a identificar e mitigar comportamentos de injeção de AppDomain. Além disso, examinar o tráfego de rede em busca de uso incomum de protocolo, como comportamento inesperado de proxy ou tentativas de encaminhamento de porta, pode auxiliar na detecção de canais de comunicação ocultos.

Conclusão

A campanha OneClik destaca como os adversários estão continuamente aprimorando suas táticas para explorar tecnologias legítimas. Para organizações em setores de infraestrutura crítica, manter uma postura vigilante e implementar defesas de segurança em várias camadas continua sendo essencial para mitigar o impacto dessas ameaças avançadas.

 

Tendendo

Mais visto

Carregando...