O malware OneClick se esconde à vista de todos
Table of Contents
Uma nova geração de intrusão cibernética
Especialistas em segurança cibernética descobriram uma campanha de malware altamente direcionada conhecida como OneClik . Esta operação não é um ataque aleatório típico — é um esforço focado voltado diretamente para setores de alto valor, como energia, petróleo e gás. O que torna o OneClik notável é o uso da tecnologia ClickOnce da Microsoft, uma ferramenta legítima projetada para facilitar a implantação de software para os usuários. Em vez disso, os invasores a transformaram em uma arma para instalar discretamente backdoors em sistemas críticos.
Vivendo da Terra: A Estratégia Evasiva dos Atacantes
Em vez de depender de malware barulhento que dispara alarmes, a OneClik adota uma abordagem mais sutil. A campanha se alinha a uma tendência mais ampla do setor, conhecida como técnicas de "living-off-the-land" (viver fora da terra) — usando ferramentas e plataformas de sistema confiáveis para operar sem serem detectados. Os invasores misturam processos maliciosos aos fluxos de trabalho normais das empresas, tornando a detecção extremamente difícil. Embora algumas características sugiram ligações com grupos de ameaças afiliados à China, analistas de segurança permanecem cautelosos quanto à atribuição de culpa.
Do phishing ao controle total
A cadeia de ataque começa com um e-mail de phishing aparentemente simples. As vítimas são redirecionadas para um site falso que imita uma ferramenta legítima de análise de hardware. Ao ser acessado, esse site exibe silenciosamente um aplicativo ClickOnce. Embora pareça inofensivo, o aplicativo é, na verdade, um carregador baseado em .NET que aciona uma cadeia complexa de eventos. No centro dessa cadeia está um backdoor poderoso conhecido como RunnerBeacon .
RunnerBeacon: O Implante Central
Desenvolvido com a linguagem de programação Go, o RunnerBeacon foi projetado para oferecer discrição e versatilidade. Ele se comunica com seus operadores usando vários protocolos, incluindo HTTPS, TCP bruto e até mesmo pipes nomeados do Windows. Isso permite que o malware realize uma ampla gama de atividades: ler e modificar arquivos, escanear redes internas, executar comandos de shell, roubar tokens para escalonamento de privilégios e se mover lateralmente pela rede. Não é apenas um ponto de apoio — é um kit de ferramentas para comprometimento profundo do sistema.
Não são necessários direitos de administrador: por que o ClickOnce é importante
Um dos truques mais inteligentes da campanha reside no abuso do ClickOnce. Essa tecnologia da Microsoft é normalmente usada para instalar software sem a necessidade de privilégios de administrador. Os invasores aproveitam isso para lançar seu malware sem levantar suspeitas ou solicitar permissões suspeitas. O aplicativo malicioso é executado por meio de um processo confiável do Windows, o dfsvc.exe, e emprega uma tática raramente vista, conhecida como injeção de AppDomainManager, para executar shellcode criptografado na memória, dificultando a recuperação forense.
Não é um caso isolado: variantes em evolução na natureza
Não se trata de uma única cepa de malware — é uma família em crescimento. Pesquisadores de segurança identificaram diversas variantes do OneClik surgindo somente em 2025, cada versão mais refinada que a anterior. Nomes como v1a , BPI-MDM e v1d indicam um conjunto de ferramentas em desenvolvimento, projetado para evasão e persistência. De fato, avistamentos anteriores do backdoor RunnerBeacon remontam a 2023, apontando para uma campanha que vem operando e evoluindo silenciosamente ao longo do tempo.
Implicações mais amplas: o que isso significa para as empresas
As implicações da atividade do OneClik são significativas. Sua capacidade de passar despercebida, evitar requisitos de escalonamento de privilégios e operar em sistemas confiáveis o torna especialmente perigoso para setores que dependem de sistemas legados ou proteções mínimas de endpoint. Ferramentas antivírus e firewalls tradicionais podem não detectá-lo. Organizações em setores de infraestrutura devem considerar se suas defesas atuais podem lidar com esse tipo de ataque.
Aqui estão alguns sinais importantes que podem sugerir uma intrusão do tipo OneClick:
- Tráfego de saída incomum para AWS ou outros serviços de nuvem
- Processos filho desconhecidos de dfsvc.exe
- Uso de AppDomainManager ou assemblies .NET suspeitos
- Escaladas graduais de privilégios sem alertas
Um Padrão Global: Conexões com Outros Atores de Ameaças
Embora a atribuição permaneça obscura, pesquisadores notaram semelhanças entre as técnicas do OneClik e aquelas usadas por grupos ligados a estados no Nordeste Asiático. Uma campanha de um grupo conhecido como APT-Q-14 também utilizou aplicativos ClickOnce, desta vez explorando uma falha XSS de dia zero em um serviço de e-mail online para instalar malware sem a necessidade de nenhum clique. A sobreposição de táticas sugere ferramentas compartilhadas ou um manual comum entre os agentes de ameaças regionais.
Adaptabilidade é a nova arma
O que diferencia o OneClik do malware tradicional é sua flexibilidade. Ele não depende de vulnerabilidades de grande porte ou métodos de força bruta. Em vez disso, ele se adapta. Utiliza plataformas confiáveis como a AWS, oculta suas comunicações e evolui em tempo real. Isso é emblemático de uma mudança mais ampla nas ameaças cibernéticas: afastando-se do volume e migrando para a furtividade e a precisão.
Considerações finais
A campanha OneClik é um lembrete claro de que mesmo tecnologias legítimas podem ser reutilizadas para fins maliciosos. Para as equipes de segurança, isso significa olhar além das proteções superficiais e investir em análise comportamental, detecção de anomalias e monitoramento avançado. À medida que os agentes de ameaças não param de refinar seus métodos, os defensores precisam se equiparar a eles em agilidade e percepção. O futuro da segurança cibernética reside em entender não apenas o que os invasores fazem, mas também o quão silenciosamente eles o fazem.
