Zlonamjerni softver pod nazivom OneClik koristi Microsoft ClickOnce tehnologiju kako bi ciljao energetska preduzeća, pri čemu koristi pozadinske kanale (backdoors) napisane u Golangu za prikrivene operacije. Ovo otkriće objavila je sigurnosna kompanija Mandiant, koja je detaljno analizirala ovu novu prijetnju. Napadači ovim putem pokušavaju dobiti neovlašteni pristup sistemima kritične infrastrukture, potencijalno narušavajući njihovo funkcionisanje.
Ova kampanja je zapažena zbog svoje sofisticiranosti u iskorištavanju legitimnih tehnologija za distribuciju softvera koje nudi Microsoft. ClickOnce omogućava programima da se lako instaliraju i ažuriraju na računarima korisnika putem interneta, što ga čini atraktivnim alatom za razvojne programere, ali i potencijalnim vektorom za napade kada se zloupotrijebi. Zlonamjerni akteri koriste ovu funkcionalnost kako bi prikrili svoje aktivnosti i izbjegli otkrivanje od strane sigurnosnih sistema.
Pozadinski kanali (backdoors) u Golangu nude napadačima fleksibilnost i efikasnost u upravljanju kompromitovanim sistemima. Golang je popularan među sajberkriminalcima zbog svoje performanse, lakoće razvoja i mogućnosti stvaranja samostalnih izvršnih datoteka koje ne zahtijevaju dodatne biblioteke, što olakšava prikrivanje zlonamjernih aktivnosti. Ovi kanali omogućavaju daljinsko upravljanje, preuzimanje i slanje podataka, te izvršavanje drugih zlonamjernih radnji unutar ciljanih mreža.
Upozorenje Mandianta naglašava rastuću prijetnju ciljanim napadima na energetska preduzeća, koja su ključna za funkcionisanje društva. Uspješan napad na ovakvu organizaciju mogao bi imati ozbiljne posljedice, uključujući prekide u snabdijevanju energijom, ekonomske gubitke i ugrožavanje nacionalne sigurnosti. S obzirom na prirodu ciljane industrije, ovo ukazuje na potencijalno destabilizirajuće namjere napadača.
Metodologija napada obično počinje slanjem ciljanih phishing e-mailova ili poruka zaposlenima u energetskim kompanijama. Ove poruke često sadrže poveznice ili privitke koji navodno vode do važnih dokumenata ili ažuriranja softvera, koristeći socijalni inženjering kako bi prevarili primaoca da ih otvori. Jednom kada korisnik klikne na poveznicu, ClickOnce mehanizam se aktivira, ali umjesto legitimne aplikacije, preuzima i instalira zlonamjerni softver. Napadači se trude učiniti ove poruke što uvjerljivijima, često imitirajući komunikaciju od strane legitimnih dobavljača softvera ili internih odjela kompanije.
Iako specifičan detaljan primjer uspješnog napada još nije javno obznanjen u ovom kontekstu, opisana metoda je dobro poznata u sajber sigurnosnom svijetu. Prevaranti bi mogli poslati e-mail koji izgleda kao obavijest o ažuriranju nekog internog sistema ili sigurnosnog alata, zahtijevajući od korisnika da klikne na link kako bi izvršio “obavezno” ažuriranje. Nakon klika, zlonamjerni softver bi se instalirao, a napadači bi zatim mogli uspostaviti kontrolu nad sistemom ili ukrasti osjetljive podatke. Uvjerljivost se postiže korištenjem autentičnih logotipa, profesionalno dizajniranih e-mailova i tekstova koji apeluju na osjećaj hitnosti ili obaveze zaposlenika.
