Nova prijetnja zvana OneClik koristi Microsoftove ClickOnce aplikacije i Golang backdoor-ove za napade na energetski sektor, otkriva izvještaj. Ovom malveru je očigledno cilj diskretno infiltrirati ciljane sisteme.
Upozorenje je prvobitno objavljeno na platformi X, a detaljnije informacije su dostupne na blogu kompanije. Analiza ukazuje na to da OneClik eksploatiše mehanizam ClickOnce kompanije Microsoft, koji se koristi za distribuciju i ažuriranje aplikacija. Zloćudnost se krije u načinu na koji ovaj mehanizam može biti zloupotrijebljen za isporuku zlonamjernih payload-ova.
Metodologija napada je usmjerena na društveno inženjerstvo. Prevaranti, kroz vješto kreirane prevare, navode žrtve da preuzmu i pokrenu naizgled legitimne aplikacije. Ove aplikacije, kada se instaliraju putem ClickOnce-a, zapravo instaliraju malver. Jedan od načina na koji se ovo može desiti je putem phishing e-mailova koji sadrže linkove ka ovim kompromitovanim aplikacijama, predstavljajući ih kao neophodna ažuriranja ili nove alate.
Kontekstualno, ovi napadi se uklapaju u širi trend ciljanih sajber napada na kritičnu infrastrukturu, uključujući energetske kompanije. Takvi napadi mogu imati dalekosežne posljedice, potencijalno narušavajući stabilnost snabdijevanja energijom. Iako specifičan detaljni primjer za OneClik malver još nije široko objavljen, osnovni princip iskorištavanja sistema za dostavu softvera ostaje isti kao kod mnogih drugih uspješnih kampanja.
U suštini, korisnici bivaju prevareni jer im se podmeće lažno predstavljanje aplikacije. Na primjer, napadač može poslati e-mail sa tvrdnjom da je potrebno hitno ažuriranje softvera za nadzor mreže. Link u tom e-mailu vodi ka ClickOnce instalaciji koja, umjesto ažuriranja, instalira OneClik malver. Uvjerljivost prevare postiže se korištenjem vizualnih elemenata i jezika koji su slični onima koje koristi legitimni softver, čime se smanjuje sumnja kod žrtve. Golang backdoor-ovi koji su dio ovog malvera omogućavaju napadačima daljinsku kontrolu nad zaraženim sistemima, čime mogu krasti osjetljive podatke ili vršiti daljnje sabotaže.