Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware OneClik

Malware OneClik

Por Mezo en Software malicioso
Traducir a:

Una sofisticada cibercampaña, denominada OneClik, se dirige a los sectores de energía, petróleo y gas mediante una combinación de métodos de implementación engañosos y malware desarrollado a medida. El núcleo de esta operación es el abuso de la tecnología ClickOnce de Microsoft y una potente puerta trasera basada en Golang llamada RunnerBeacon. Aunque los indicadores sugieren un posible vínculo con actores de amenazas chinos, la atribución sigue siendo provisional.

ClickOnce: una herramienta de implementación de doble filo

ClickOnce de Microsoft está diseñado para simplificar el proceso de implementación y actualización de aplicaciones de Windows, permitiendo instalaciones con mínima interacción del usuario. Introducida en .NET Framework 2.0, esta función permite que las aplicaciones se ejecuten con permisos limitados sin necesidad de permisos administrativos.

Desafortunadamente, esta comodidad también ha convertido a ClickOnce en un recurso valioso para los ciberdelincuentes. Las aplicaciones maliciosas pueden implementarse mediante un binario confiable de Windows (dfsvc.exe), que gestiona las aplicaciones ClickOnce. Estas aplicaciones se ejecutan como un proceso secundario de dfsvc.exe, lo que permite a los atacantes ejecutar código malicioso de forma sigilosa sin generar alarmas de seguridad ni requerir privilegios elevados.

Tácticas de infiltración: phishing y engaño

La cadena de ataque comienza con correos electrónicos de phishing bien diseñados que atraen a las víctimas a un sitio web falso de análisis de hardware. Una vez que la víctima visita el sitio, se entrega una aplicación ClickOnce maliciosa que se ejecuta mediante dfsvc.exe.

Este cargador inyecta código malicioso en la memoria mediante un método conocido como inyección de AppDomainManager, lo que resulta en la ejecución de un shellcode cifrado. La carga útil final es RunnerBeacon, una sofisticada puerta trasera de Golang.

RunnerBeacon: un implante potente y versátil

La puerta trasera RunnerBeacon está diseñada para admitir una amplia gama de capacidades, que incluyen:

  • Comunicación a través de múltiples protocolos: HTTP(S), WebSockets, TCP sin formato y canales con nombre SMB
  • Ejecución de comandos de shell y operaciones del sistema de archivos
  • Enumeración y terminación de procesos
  • Escalada de privilegios mediante robo de tokens y suplantación de identidad
  • Movimiento lateral dentro de una red

También incluye técnicas avanzadas de evasión y antianálisis, junto con soporte para operaciones centradas en la red, como escaneo de puertos, reenvío de puertos y proxy SOCKS5.

¿Un clon de Geacon?

RunnerBeacon presenta fuertes similitudes con variantes de Cobalt Strike basadas en Go, como Geacon, Geacon Plus y Geacon Pro. Refleja sus estructuras de comandos, funciones de comunicación entre protocolos y flexibilidad operativa. Estas características sugieren que RunnerBeacon podría ser una versión personalizada o evolucionada de Geacon, perfeccionada para integrarse a la perfección en entornos de nube.

Amenaza en evolución: múltiples variantes detectadas

Solo en marzo de 2025, los investigadores de ciberseguridad identificaron tres variantes distintas de OneClik:

  • v1a
  • BPI-MDM
  • v1d

Cada versión incluye mejoras que mejoran los sistemas de detección de sigilo y evasión. Sin embargo, ya en septiembre de 2023 se descubrieron rastros de RunnerBeacon en una empresa del sector de petróleo y gas de Oriente Medio, lo que indica que el desarrollo y las pruebas continúan.

Técnicas y atribución: conocidas pero no confirmadas

El uso de la inyección de AppDomainManager es una táctica bien documentada y se ha observado previamente en campañas cibernéticas asociadas con actores de amenazas chinos y norcoreanos. Sin embargo, a pesar de las similitudes en la técnica y el enfoque, los investigadores no han podido atribuir de forma concluyente la campaña OneClik a ningún grupo conocido.

Para identificar señales de vulnerabilidad, las organizaciones deben estar alerta ante correos electrónicos de phishing que dirigen a los destinatarios a sitios web fraudulentos de análisis de hardware, ya que estos suelen ser los puntos de entrada iniciales del ataque. Otra señal de alerta es el uso de aplicaciones ClickOnce iniciadas mediante el proceso dfsvc.exe, que puede indicar la presencia de cargas maliciosas. La implementación sospechosa de técnicas de inyección de AppDomainManager y las conexiones salientes a infraestructura controlada por el atacante alojada en Amazon Web Services (AWS) también son indicadores sólidos de vulnerabilidad.

Para protegerse contra estas amenazas, las empresas deberían considerar deshabilitar o supervisar de cerca las implementaciones de ClickOnce, especialmente en entornos de alto riesgo. Los equipos de seguridad deben estar atentos a procesos secundarios anómalos provenientes de dfsvc.exe, que podrían indicar actividad maliciosa. Implementar soluciones de detección y respuesta en endpoints (EDR) puede ayudar a identificar y mitigar comportamientos de inyección de AppDomain. Además, examinar el tráfico de red para detectar usos inusuales de protocolos, como comportamientos inesperados de proxy o intentos de reenvío de puertos, puede ayudar a detectar canales de comunicación encubiertos.

Conclusión

La campaña OneClik pone de relieve cómo los adversarios perfeccionan continuamente sus tácticas para explotar tecnologías legítimas. Para las organizaciones de sectores de infraestructura crítica, mantener una postura vigilante e implementar defensas de seguridad multicapa sigue siendo esencial para mitigar el impacto de estas amenazas avanzadas.

 

Tendencias

Mas Visto

Cargando...