Nova prijetnja nazvana “OneClik” koristi Microsoft ClickOnce tehnologiju kako bi ciljala energetske kompanije, koristeći prikrivene pozadinske kanale (backdoore) napisane u Golangu za potencijalno štetne aktivnosti.
Sigurnosni istraživači su otkrili da zlonamjerni softver “OneClik” iskorištava Microsoftovu ClickOnce implementaciju, koja je dizajnirana za pojednostavljenje procesa instalacije softvera, kako bi otvorio vrata za daljnje napade. Ovaj metod omogućava napadačima da isporuče svoje zlonamjerne terete na ciljane sisteme u energetskom sektoru.
Pored toga, istraživači su identifikovali da “OneClik” koristi pozadinske kanale (backdoore) napisane u programskom jeziku Golang. Ovi pozadinski kanali su poznati po svojoj efikasnosti i mogućnosti da omoguće napadačima daljinsku kontrolu nad zaraženim sistemima, što im omogućava prikupljanje osjetljivih podataka ili izvođenje drugih zlonamjernih radnji.
Primarna meta ovog napada je energetski sektor, ključna infrastruktura koja je često na meti sajber napada zbog svoje vitalne uloge u društvu. Sposobnost “OneClik” da cilja ovu specifičnu industriju ukazuje na sofisticiranost i usmjerenost napadača.
Upozorenje o ovom novom malveru je objavljeno na sigurnosnom blogu kompanije The Hacker News, pružajući detaljan uvid u njegovu funkcionalnost i potencijalnu prijetnju.
Metodologija napada podrazumijeva zloupotrebu povjerenja u legitimni proces instalacije softvera. Microsoft ClickOnce inače omogućava korisnicima da instaliraju aplikacije direktno sa veba ili sa mrežnih lokacija bez potrebe za tradicionalnim instalacionim paketima. Prevaranti ovu pogodnost koriste tako što prikrivaju zlonamjerni kod unutar naizgled bezopasne ClickOnce aplikacije. Korisnici se na taj način navode da pokrenu instalaciju, nesvjesni da time u svoj sistem unose i malver.
Jedan od načina na koji se potencijalne žrtve mame je putem phishing e-poruka ili lažnih web stranica koje oponašaju legitimne izvore softvera. Te poruke ili stranice mogu nuditi ažuriranje postojećeg softvera, novu aplikaciju ili važnu sigurnosnu zakrpu, sve sa ciljem da se korisnik uvjeri kako preuzima nešto neophodno ili korisno. Kada korisnik klikne na link ili preuzme datoteku, često se pokreće zlonamjerni ClickOnce paket koji instalira malver na njihov sistem.
Iako ovaj izvještaj ne navodi konkretne primjere napada koji su doveli do potvrđene štete, opisanu metodologiju je moguće ilustrovati hipotetičkim scenarijem. Zamislite zaposlenog u energetskoj kompaniji koji prima e-poruku koja izgleda kao službeno obavještenje od IT odjela, pozivajući ga da ažurira softver za pristup udaljenoj radnoj površini. Link u e-poruci vodi do stranice koja izgleda autentično, sa dugmetom za preuzimanje. Klikom na dugme, preuzima se ClickOnce aplikacija koja, prilikom pokretanja, ne samo da instalira traženi softver, već u pozadini postavlja Golang backdoor. Ovaj backdoor potom omogućava napadačima da preuzmu kontrolu nad radnom stanicom, pristupaju internim mrežama i potencijalno ugroze kritičnu infrastrukturu kompanije. Uvjerljivost prevare se postiže detaljnim oponašanjem komunikacije kompanije i korištenjem legitimnog mehanizma isporuke softvera.