Malware OneClik: Nova ameaça ao setor de energia utiliza backdoors ClickOnce e Golang

Pesquisadores de segurança cibernética revelaram os detalhes de uma nova e sofisticada campanha de malware, batizada de OneClik, que tem como alvo principal o setor de energia, incluindo empresas de petróleo e gás. A campanha se destaca por empregar a tecnologia de implantação de software ClickOnce da Microsoft e backdoors personalizados desenvolvidos em Golang, evidenciando uma evolução nas táticas de hackers.

Segundo Nico Paulo Yturriaga e Pham Duy Phuc, pesquisadores da Trellix, a campanha apresenta características que se alinham com hackers afiliados à China, embora a atribuição formal ainda seja cautelosa. Os métodos utilizados refletem uma tendência crescente de "viver da terra" (living off the land), onde as operações maliciosas são integradas a ferramentas de nuvem e corporativas legítimas, dificultando a detecção por mecanismos de segurança tradicionais.

Os ataques de phishing servem como ponto de partida para a infecção. E-mails maliciosos contêm links para websites falsos de análise de hardware. Ao serem acessados, esses sites atuam como um canal para entregar um aplicativo ClickOnce comprometido. Este aplicativo, por sua vez, executa um binário malicioso utilizando o "dfsvc.exe", um componente legítimo do Windows responsável por instalar e atualizar aplicativos ClickOnce.

O binário inicial é um carregador ClickOnce que, através da técnica de injeção de código malicioso via injeção de AppDomainManager, injeta um shellcode criptografado na memória para carregar o backdoor principal, denominado RunnerBeacon. Este implante, desenvolvido em Golang, é altamente versátil e capaz de se comunicar com um servidor de comando e controle (C2) por meio de diversos protocolos, como HTTP(s), WebSockets, TCP bruto e pipes nomeados SMB.

Essa comunicação robusta permite ao invasor realizar uma ampla gama de operações, incluindo manipulação de arquivos, enumeração e encerramento de processos, execução de comandos de shell, escalonamento de privilégios (usando roubo de token e representação) e movimento lateral dentro da rede comprometida.

Além disso, o RunnerBeacon incorpora recursos antianálise para evadir a detecção e suporta operações de rede avançadas, como varredura de porta, encaminhamento de porta e o protocolo SOCKS5, facilitando recursos de proxy e roteamento.

Os pesquisadores da Trellix notaram que o design do RunnerBeacon é notavelmente semelhante aos conhecidos beacons Cobalt Strike baseados em Go (como a família Geacon/Geacon plus/Geacon Pro). As semelhanças estruturais e funcionais sugerem que o RunnerBeacon pode ser uma bifurcação evoluída ou uma variante privada e modificada do Geacon, otimizada para operações mais furtivas e compatíveis com ambientes de nuvem.

Somente em março de 2025, foram identificadas três variantes distintas do OneClick: v1a, BPI-MDM e v1d, com cada iteração demonstrando capacidades aprimoradas para passar despercebida. Uma variante do RunnerBeacon foi, inclusive, identificada em setembro de 2023 em uma empresa do setor de petróleo e gás no Oriente Médio, indicando a longevidade e a adaptabilidade da ameaça.

Embora técnicas como a injeção de AppDomainManager já tenham sido utilizadas por hackers ligados à China e à Coreia do Norte no passado, a atividade da campanha OneClik ainda não foi formalmente atribuída a nenhum grupo hacker conhecido.

O desenvolvimento desta campanha coincide com a divulgação de outra operação pela empresa de segurança QiAnXin, envolvendo um invasor rastreado como APT-Q-14. Este hacker também utilizou aplicativos ClickOnce para propagar malware, explorando uma falha de cross-site scripting (XSS) de dia zero na versão web de uma plataforma de e-mail não identificada.

A vulnerabilidade, que já foi corrigida, era acionada automaticamente quando a vítima abria um e-mail de phishing, levando ao download do aplicativo ClickOnce malicioso. Curiosamente, o corpo do e-mail de phishing da APT-Q-14 se assemelhava a notícias do Yahoo, direcionando os ataques a setores específicos das vítimas.

A sequência de intrusão do APT-Q-14 servia como um manual de instruções de caixa de correio como isca, enquanto um trojan malicioso era instalado furtivamente no sistema Windows da vítima para coletar e exfiltrar informações do sistema para um servidor C2, além de receber cargas desconhecidas de estágios subsequentes. A QiAnXin, uma empresa chinesa de cibersegurança, também observou que o APT-Q-14 foca em vulnerabilidades de dia zero em softwares de e-mail para a plataforma Android.

O APT-Q-14 foi descrito pela QiAnXin como originário do nordeste da Ásia e apresentando sobreposições com outros grupos hackers, como o APT-Q-12 (também conhecido como Pseudo Hunter) e APT-Q-15, que são avaliados como subgrupos de um grupo hacker alinhado à Coreia do Sul conhecido como DarkHotel (também conhecido como APT-C-06).

Recentemente, o 360 Threat Intelligence Center, sediado em Pequim, divulgou o uso da técnica Bring Your Own Vulnerable Driver (BYOVD) pelo DarkHotel para desativar o Microsoft Defender Antivirus e implantar malware como parte de um ataque de phishing que entregou pacotes de instalação MSI falsos em fevereiro de 2025. O malware é projetado para estabelecer comunicação com um servidor remoto para baixar, descriptografar e executar shellcode não especificado.

Via - THN