OneClik-malware is voor het oog verborgen
Table of Contents
Een nieuw soort cyberinbraak
Cybersecurity-experts hebben een zeer gerichte malwarecampagne ontdekt die bekendstaat als OneClik . Deze aanval is geen doorsnee hagelgeweeraanval, maar een gerichte aanval die zich rechtstreeks richt op sectoren met een hoge waarde, zoals de energie-, olie- en gassector. Wat OneClik zo bijzonder maakt, is het gebruik van Microsofts ClickOnce -technologie, een legitieme tool die is ontworpen om software-implementatie voor gebruikers naadloos te laten verlopen. Aanvallers hebben het echter gebruikt als wapen om ongemerkt backdoors in kritieke systemen te implementeren.
Leven van het land: de ontwijkende strategie van de aanvallers
In plaats van te vertrouwen op luidruchtige malware die alarmen activeert, hanteert OneClik een subtielere aanpak. De campagne sluit aan bij een bredere trend in de sector die bekend staat als 'living-off-the-land'-technieken: het gebruik van vertrouwde systeemtools en -platforms om onopgemerkt te opereren. De aanvallers integreren kwaadaardige processen in normale bedrijfsprocessen, waardoor detectie extreem moeilijk wordt. Hoewel sommige kenmerken wijzen op banden met Chinese dreigingsgroepen, blijven beveiligingsanalisten voorzichtig met het aanwijzen van schuldigen.
Van phishing naar volledige controle
De aanvalsketen begint met een bedrieglijk eenvoudige phishingmail. Slachtoffers worden doorgestuurd naar een nepwebsite die een legitieme hardware-analysetool nabootst. Bij een bezoek aan deze site wordt ongemerkt een ClickOnce-applicatie geopend. Hoewel dit onschuldig lijkt, is de applicatie in feite een .NET-gebaseerde loader die een complexe keten van gebeurtenissen in gang zet. Centraal in deze keten staat een krachtige backdoor die bekendstaat als RunnerBeacon .
RunnerBeacon: het kernimplantaat
RunnerBeacon is gebouwd met de programmeertaal Go en is ontworpen voor stealth en veelzijdigheid. Het communiceert met zijn operators via verschillende protocollen, waaronder HTTPS, raw TCP en zelfs Windows-pipes. Dit stelt de malware in staat een breed scala aan activiteiten uit te voeren: bestanden lezen en wijzigen, interne netwerken scannen, shell-opdrachten uitvoeren, tokens stelen voor privilege-escalatie en zich lateraal door het netwerk verplaatsen. Het is niet zomaar een houvast, het is een toolkit voor diepgaande systeemcompromissen.
Geen beheerdersrechten vereist: waarom ClickOnce belangrijk is
Een van de slimste trucs van de campagne schuilt in het misbruik van ClickOnce. Deze Microsoft-technologie wordt doorgaans gebruikt om software te installeren zonder beheerdersrechten. Aanvallers gebruiken dit om hun malware te lanceren zonder rode vlaggen te laten verschijnen of om verdachte rechten te vragen. De schadelijke app draait via een vertrouwd Windows-proces, dfsvc.exe, en gebruikt een zelden geziene tactiek, AppDomainManager-injectie genaamd, om versleutelde shellcode in het geheugen uit te voeren, wat forensisch herstel bemoeilijkt.
Geen eenmalige gebeurtenis: evoluerende varianten in het wild
Dit is geen enkele malwarevariant, maar een groeiende familie. Beveiligingsonderzoekers hebben al in 2025 verschillende OneClik-varianten geïdentificeerd, waarvan elke versie verfijnder is dan de vorige. Namen als v1a , BPI-MDM en v1d duiden op een steeds volwassener wordende toolset, ontworpen voor ontwijking en persistentie. Eerdere waarnemingen van de RunnerBeacon-backdoor gaan zelfs terug tot 2023, wat wijst op een campagne die in de loop der tijd stilletjes heeft gedraaid en zich heeft ontwikkeld.
Bredere implicaties: wat dit betekent voor bedrijven
De implicaties van OneCliks activiteiten zijn aanzienlijk. De mogelijkheid om onopgemerkt te blijven, vereisten voor privilege-escalatie te omzeilen en te werken binnen vertrouwde systemen, maakt het bijzonder gevaarlijk voor sectoren die afhankelijk zijn van verouderde systemen of minimale endpoint-beveiliging. Traditionele antivirusprogramma's en firewalls kunnen dit mogelijk niet detecteren. Organisaties in de infrastructuursector moeten zich afvragen of hun huidige verdediging dit type aanval aankan.
Hier zijn enkele belangrijke signalen die kunnen wijzen op een OneClik-achtige inbraak:
- Ongebruikelijk uitgaand verkeer naar AWS of andere clouddiensten
- Onbekende onderliggende processen van dfsvc.exe
- Gebruik van AppDomainManager of verdachte .NET-assemblages
- Geleidelijke verhoging van privileges zonder waarschuwingen
Een wereldwijd patroon: verbindingen met andere dreigingsactoren
Hoewel de toeschrijving onduidelijk blijft, hebben onderzoekers overeenkomsten opgemerkt tussen de technieken van OneClik en die van aan staten gelinkte groepen in Noordoost-Azië. Een campagne van een groep genaamd APT-Q-14 maakte ook gebruik van ClickOnce-applicaties, ditmaal gebruikmakend van een zero-day XSS-fout in een webgebaseerde e-mailservice om malware te installeren zonder te klikken. De overlap in tactieken suggereert dat regionale dreigingsactoren ofwel gedeelde tools gebruiken, ofwel een gemeenschappelijk draaiboek hanteren.
Aanpassingsvermogen is het nieuwe wapen
Wat OneClik onderscheidt van traditionele malware is de flexibiliteit. Het vertrouwt niet op blockbuster-kwetsbaarheden of brute-force-methoden. In plaats daarvan past het zich aan. Het maakt gebruik van vertrouwde platforms zoals AWS, verhult zijn communicatie en evolueert in realtime. Dit is exemplarisch voor een bredere verschuiving in cyberdreigingen: van volume naar stealth en precisie.
Laatste gedachten
De OneClik-campagne herinnert ons er duidelijk aan dat zelfs legitieme technologieën voor kwaadaardige doeleinden kunnen worden ingezet. Voor beveiligingsteams betekent dit dat ze verder moeten kijken dan oppervlakkige bescherming en moeten investeren in gedragsanalyse, anomaliedetectie en geavanceerde monitoring. Omdat cybercriminelen hun methoden voortdurend blijven verfijnen, moeten verdedigers hen evenaren in wendbaarheid en inzicht. De toekomst van cybersecurity ligt niet alleen in het begrijpen van wat aanvallers doen, maar ook in hoe geruisloos ze dat doen.
