Menu Mobile
Voltar ao início do blog

Nova ameaça digital atinge setor de energia com backdoor em Golang

Threat Intelligence

Nova ameaça digital atinge setor de energia com backdoor em Golang

A campanha OneClik atinge o setor de energia com backdoors desenvolvidos em Golang, distribuídos via ClickOnce. Usando técnicas avançadas de evasão, o malware se oculta em infraestruturas legítimas...

Resumo rápido

A campanha OneClik atinge o setor de energia com backdoors desenvolvidos em Golang, distribuídos via ClickOnce. Usando técnicas avançadas de evasão, o malware se oculta em infraestruturas legítimas da AWS, tornando sua detecção desafiadora. Medidas de prevenção e treinamento são essenciais para mitigar riscos.

Neste artigo você vai aprender:

  • O que é a campanha OneClik e seu impacto no setor de energia.
  • Como funciona a distribuição do malware através de ClickOnce.
  • Sinais de alerta para identificar ataques relacionados.
  • Medidas de proteção e boas práticas para evitar infecções.
  • A importância de treinamentos e simulações de ataque.

O que é a campanha OneClik

Pesquisadores detectaram uma campanha sofisticada chamada OneClik, que visa empresas dos setores de energia, petróleo e gás, utilizando backdoors em Golang distribuídos via ClickOnce — um alerta urgente sobre a evolução das ameaças a infraestruturas críticas.

Como funciona

A campanha começa com um email de phishing que induz vítimas a clicar em um link que baixa um pacote malicioso disfarçado de ferramenta legítima, usando a tecnologia ClickOnce da Microsoft. Isso ativa o processo confiável dfsvc.exe, que carrega um loader .NET chamado OneClikNet, que, por sua vez, instala o backdoor RunnerBeacon, escrito em Golang.

O malware usa infraestrutura legítima da AWS — como CloudFront, API Gateway e Lambda — para esconder seu canal de comando e controle (C2), dificultando sua detecção por análises tradicionais de rede. Além disso, há técnicas de anti-análise como evasão de sandbox e anti-debugging.

Sinais de alerta / Como identificar

Apesar de os pesquisadores da Trellix considerarem a campanha uma simulação de Red Team, ela é extremamente realista e reflete as táticas usadas por atores com ligações ao Estado chinês.

O que fazer agora / Como se proteger

Dica de prevenção

  1. Reforce o treinamento dos usuários sobre phishing que pode parecer “ferramentas corporativas” — especialmente no setor energético.
  2. Bloqueie ou monitore o uso de ClickOnce em ambientes críticos, impondo políticas via Group Policy ou soluções EDR.
  3. Implemente análise comportamental e monitoramento de processos que utilizam dfsvc.exe para detectar movimentos suspeitos.
  4. Adote deteção avançada de C2 escondido em AWS: ferramentas capazes de identificar padrões anômalos em CloudFront, API Gateway e Lambda.
  5. Realize testes de intrusão periódicos, simulando ataques com backdoors Golang, para validar controles e treinar a resposta operacional.

Prevenção / Boas práticas

A campanha OneClik evidencia como ataques modernos combinam phishing, ferramentas legítimas e infraestrutura em nuvem para comprometer organizações críticas com stealth e persistência. Fortalecer treinamentos, controles técnicos e monitoramento é essencial para evitar brechas graves.

Proteja sua empresa com a LC Sec

A LC SEC está pronta para ajudar sua empresa com consultoria especializada, simulações de ataque e defesa avançada.

Falar com especialista

Compartilhe nas redes sociais:

Você cuida da sua empresa, a LC Sec cuida da sua cibersegurança

conheça a lc sec

Conteúdos relacionados

27 de Junho de 2025

Setor de energia é alvo de ataques via ClickOnce e servidores AWS
07 de Outubro de 2025

Ciber-resiliência no espaço: entenda por que ela é vital para a segurança econômica global
01 de Julho de 2025

Campanha de ciberespionagem atinge políticos e diplomatas, alerta pesquisa