Pesquisadores de cibersegurança identificaram uma nova campanha maliciosa chamada OneClik, que visa empresas dos setores de energia, petróleo e gás. O ataque explora a tecnologia ClickOnce da Microsoft, usada para instalar aplicativos no Windows, em conjunto com backdoors desenvolvidos em Golang, apelidados de RunnerBeacon. A campanha, atribuída cautelosamente a grupos ligados à China, utiliza táticas de “vivência no ambiente”, escondendo atividades maliciosas em ferramentas corporativas e de nuvem para evitar detecção.
O vetor inicial do ataque são e-mails de phishing com links para sites falsos que distribuem aplicativos ClickOnce. Esses aplicativos, ao serem executados, ativam o arquivo confiável do Windows “dfsvc.exe”, que carrega um código malicioso injetado via técnica conhecida como AppDomainManager injection. Esse código executa um shellcode criptografado na memória, resultando na instalação do backdoor RunnerBeacon. O malware se comunica com servidores controlados pelos invasores por meio de protocolos como HTTP(S), WebSockets, TCP e SMB, permitindo controle remoto, execução de comandos, movimentação lateral na rede, coleta de dados e evasão de sistemas de análise.
Três variantes da campanha foram detectadas apenas em março de 2025, com melhorias progressivas. Uma versão anterior do RunnerBeacon já havia sido encontrada em 2023 em uma empresa de petróleo no Oriente Médio. Além disso, a empresa QiAnXin relatou outra campanha atribuída ao grupo APT Q14, que também usou o ClickOnce para disseminar malware por meio de uma falha XSS (já corrigida) em uma plataforma de e-mail. O grupo, associado ao DarkHotel (APT C06), vem adotando métodos mais discretos e criativos para comprometer alvos estratégicos, especialmente ligados à Coreia do Norte.
