Blog

Nova ameaça digital atinge setor de energia com backdoor

Escrito por LC Sec | 01/07/2025 15:03:02
Threat Intelligence

Nova ameaça digital atinge setor de energia com backdoor em Golang

A campanha OneClik atinge o setor de energia com backdoors desenvolvidos em Golang, distribuídos via ClickOnce. Usando técnicas avançadas de evasão, o malware se oculta em infraestruturas legítimas...

Navegação

O que é a campanha OneClik Como funciona Sinais de alerta / Como identificar O que fazer agora / Como se proteger Prevenção / Boas práticas

Resumo rápido

A campanha OneClik atinge o setor de energia com backdoors desenvolvidos em Golang, distribuídos via ClickOnce. Usando técnicas avançadas de evasão, o malware se oculta em infraestruturas legítimas da AWS, tornando sua detecção desafiadora. Medidas de prevenção e treinamento são essenciais para mitigar riscos.

Neste artigo você vai aprender:

  • O que é a campanha OneClik e seu impacto no setor de energia.
  • Como funciona a distribuição do malware através de ClickOnce.
  • Sinais de alerta para identificar ataques relacionados.
  • Medidas de proteção e boas práticas para evitar infecções.
  • A importância de treinamentos e simulações de ataque.

O que é a campanha OneClik

Pesquisadores detectaram uma campanha sofisticada chamada OneClik, que visa empresas dos setores de energia, petróleo e gás, utilizando backdoors em Golang distribuídos via ClickOnce — um alerta urgente sobre a evolução das ameaças a infraestruturas críticas.

Como funciona

A campanha começa com um email de phishing que induz vítimas a clicar em um link que baixa um pacote malicioso disfarçado de ferramenta legítima, usando a tecnologia ClickOnce da Microsoft. Isso ativa o processo confiável dfsvc.exe, que carrega um loader .NET chamado OneClikNet, que, por sua vez, instala o backdoor RunnerBeacon, escrito em Golang.

O malware usa infraestrutura legítima da AWS — como CloudFront, API Gateway e Lambda — para esconder seu canal de comando e controle (C2), dificultando sua detecção por análises tradicionais de rede. Além disso, há técnicas de anti-análise como evasão de sandbox e anti-debugging.

Sinais de alerta / Como identificar

Apesar de os pesquisadores da Trellix considerarem a campanha uma simulação de Red Team, ela é extremamente realista e reflete as táticas usadas por atores com ligações ao Estado chinês.

O que fazer agora / Como se proteger

Dica de prevenção

  1. Reforce o treinamento dos usuários sobre phishing que pode parecer “ferramentas corporativas” — especialmente no setor energético.
  2. Bloqueie ou monitore o uso de ClickOnce em ambientes críticos, impondo políticas via Group Policy ou soluções EDR.
  3. Implemente análise comportamental e monitoramento de processos que utilizam dfsvc.exe para detectar movimentos suspeitos.
  4. Adote deteção avançada de C2 escondido em AWS: ferramentas capazes de identificar padrões anômalos em CloudFront, API Gateway e Lambda.
  5. Realize testes de intrusão periódicos, simulando ataques com backdoors Golang, para validar controles e treinar a resposta operacional.

Prevenção / Boas práticas

A campanha OneClik evidencia como ataques modernos combinam phishing, ferramentas legítimas e infraestrutura em nuvem para comprometer organizações críticas com stealth e persistência. Fortalecer treinamentos, controles técnicos e monitoramento é essencial para evitar brechas graves.

Proteja sua empresa com a LC Sec

A LC SEC está pronta para ajudar sua empresa com consultoria especializada, simulações de ataque e defesa avançada.

Falar com especialista
Visualizar publicação completa