Il malware OneClik si nasconde in bella vista
Table of Contents
Una nuova generazione di intrusioni informatiche
Gli esperti di sicurezza informatica hanno scoperto una campagna malware altamente mirata nota come OneClik . Questa operazione non è il tipico attacco a raffica: è un'azione mirata rivolta direttamente a settori ad alto valore come l'energia, il petrolio e il gas. Ciò che rende OneClik degno di nota è l'utilizzo della tecnologia ClickOnce di Microsoft, uno strumento legittimo progettato per semplificare l'implementazione del software per gli utenti. Gli aggressori l'hanno invece trasformata in un'arma per introdurre silenziosamente backdoor nei sistemi critici.
Vivere della terra: la strategia evasiva degli aggressori
Invece di affidarsi a malware rumorosi che attivano allarmi, OneClik adotta un approccio più discreto. La campagna si allinea a una tendenza più ampia del settore nota come tecniche "living-off-the-land", che utilizzano strumenti e piattaforme di sistema affidabili per operare inosservati. Gli aggressori integrano processi dannosi nei normali flussi di lavoro aziendali, rendendo estremamente difficile il rilevamento. Sebbene alcune caratteristiche suggeriscano collegamenti con gruppi di minacce affiliati alla Cina, gli analisti della sicurezza rimangono cauti nell'attribuire la responsabilità.
Dal phishing al controllo completo
La catena di attacco inizia con un'e-mail di phishing apparentemente semplice. Le vittime vengono reindirizzate a un sito web falso che imita un legittimo strumento di analisi hardware. Quando viene visitato, questo sito invia silenziosamente un'applicazione ClickOnce. Sebbene possa sembrare innocua, l'applicazione è in realtà un loader basato su .NET che innesca una complessa catena di eventi. Al centro di questa catena si trova una potente backdoor nota come RunnerBeacon .
RunnerBeacon: l'impianto centrale
Costruito utilizzando il linguaggio di programmazione Go, RunnerBeacon è progettato per essere stealth e versatile. Comunica con i suoi operatori utilizzando vari protocolli, tra cui HTTPS, TCP raw e persino pipe denominate di Windows. Questo consente al malware di svolgere un'ampia gamma di attività: leggere e modificare file, scansionare reti interne, eseguire comandi shell, rubare token per l'escalation dei privilegi e spostarsi lateralmente attraverso la rete. Non è solo un punto d'appoggio, è un kit di strumenti per la compromissione profonda del sistema.
Nessun diritto di amministratore richiesto: perché ClickOnce è importante
Uno dei trucchi più ingegnosi della campagna risiede nell'abuso di ClickOnce. Questa tecnologia Microsoft viene in genere utilizzata per installare software senza richiedere privilegi di amministratore. Gli aggressori sfruttano questa tecnologia per lanciare il loro malware senza destare sospetti o richiedere autorizzazioni sospette. L'app dannosa esegue un processo Windows attendibile, dfsvc.exe, e impiega una tattica rara nota come iniezione di AppDomainManager per eseguire shellcode crittografato in memoria, rendendo difficile il recupero forense.
Non un caso isolato: varianti in evoluzione in natura
Non si tratta di un singolo ceppo di malware, ma di una famiglia in crescita. I ricercatori di sicurezza hanno identificato diverse varianti di OneClik emerse solo nel 2025, ciascuna versione più raffinata della precedente. Nomi come v1a , BPI-MDM e v1d indicano un set di strumenti in fase di maturazione, progettato per l'evasione e la persistenza. In effetti, i primi avvistamenti della backdoor RunnerBeacon risalgono al 2023, indicando una campagna che è stata attiva e si è evoluta silenziosamente nel tempo.
Implicazioni più ampie: cosa significa per le aziende
Le implicazioni dell'attività di OneClik sono significative. La sua capacità di passare inosservato, eludere i requisiti di escalation dei privilegi e operare all'interno di sistemi affidabili lo rende particolarmente pericoloso per le aziende che si affidano a sistemi legacy o a protezioni endpoint minime. Gli strumenti antivirus e i firewall tradizionali potrebbero non essere rilevati. Le organizzazioni che operano nel settore delle infrastrutture devono valutare se le loro attuali difese siano in grado di far fronte a questo tipo di attacco.
Ecco alcuni segnali chiave che potrebbero suggerire un'intrusione di tipo OneClik:
- Traffico in uscita insolito verso AWS o altri servizi cloud
- Processi figlio sconosciuti di dfsvc.exe
- Utilizzo di AppDomainManager o assembly .NET sospetti
- Escalation graduale dei privilegi senza avvisi
Un modello globale: connessioni con altri attori della minaccia
Sebbene l'attribuzione rimanga poco chiara, i ricercatori hanno notato somiglianze tra le tecniche di OneClik e quelle utilizzate da gruppi legati a stati nel Nord-est asiatico. Una campagna condotta da un gruppo noto come APT-Q-14 ha sfruttato anche le applicazioni ClickOnce, questa volta sfruttando una falla XSS zero-day in un servizio di posta elettronica basato sul web per installare malware senza alcun clic. La sovrapposizione nelle tattiche suggerisce l'utilizzo di strumenti condivisi o di un piano d'azione comune tra gli attori delle minacce regionali.
L'adattabilità è la nuova arma
Ciò che distingue OneClik dai malware tradizionali è la sua flessibilità. Non si affida a vulnerabilità di grande impatto o a metodi di forza bruta. Piuttosto, si adatta. Utilizza piattaforme affidabili come AWS, maschera le sue comunicazioni e si evolve in tempo reale. Questo è emblematico di un più ampio cambiamento nelle minacce informatiche: dal volume alla furtività e alla precisione.
Considerazioni finali
La campagna OneClik è un chiaro promemoria del fatto che anche le tecnologie legittime possono essere riutilizzate per scopi dannosi. Per i team di sicurezza, questo significa guardare oltre le protezioni superficiali e investire in analisi comportamentale, rilevamento delle anomalie e monitoraggio avanzato. Poiché gli autori delle minacce non smettono di perfezionare i propri metodi, chi si occupa della difesa deve eguagliarli in agilità e capacità di analisi. Il futuro della sicurezza informatica risiede nella comprensione non solo di cosa fanno gli aggressori, ma anche di quanto silenziosamente lo facciano.
