esquisadores detectaram uma campanha sofisticada chamada OneClik, que visa empresas dos setores de energia, petróleo e gás, utilizando backdoors em Golang distribuídos via ClickOnce — um alerta urgente sobre a evolução das ameaças a infraestruturas críticas.
A campanha começa com um email de phishing que induz vítimas a clicar em um link que baixa um pacote malicioso disfarçado de ferramenta legítima, usando a tecnologia ClickOnce da Microsoft. Isso ativa o processo confiável dfsvc.exe, que carrega um loader .NET chamado OneClikNet que, por sua vez, instala o backdoor RunnerBeacon, escrito em Golang.
O malware usa infraestrutura legítima da AWS — como CloudFront, API Gateway e Lambda — para esconder seu canal de comando e controle (C2), dificultando sua detecção por análises tradicionais de rede. Além disso, há técnicas de anti-análise como evasão de sandbox e anti-debugging.
Apesar de os pesquisadores da Trellix considerarem a campanha uma simulação de Red Team, ela é extremamente realista e reflete as táticas usadas por atores com ligações ao Estado chinês.
Dica de prevenção
Reforce o treinamento dos usuários sobre phishing que pode parecer “ferramentas corporativas” — especialmente no setor energético.
Bloqueie ou monitore o uso de ClickOnce em ambientes críticos, impondo políticas via Group Policy ou soluções EDR.
Implemente análise comportamental e monitoramento de processos que utilizam dfsvc.exe para detectar movimentos suspeitos.
Adote deteção avançada de C2 escondido em AWS: ferramentas capazes de identificar padrões anômalos em CloudFront, API Gateway e Lambda.
Realize testes de intrusão periódicos, simulando ataques com backdoors Golang, para validar controles e treinar a resposta operacional.
A campanha OneClik evidencia como ataques modernos combinam phishing, ferramentas legítimas e infraestrutura em nuvem para comprometer organizações críticas com stealth e persistência. Fortalecer treinamentos, controles técnicos e monitoramento é essencial para evitar brechas graves. A LC SEC está pronta para ajudar sua empresa com consultoria especializada, simulações de ataque e defesa avançada.
👉 Acesse lcsec.io