OneClik-Malware versteckt sich direkt vor den Augen der Öffentlichkeit
Table of Contents
Eine neue Art von Cyberangriffen
Cybersicherheitsexperten haben eine hochgradig zielgerichtete Malware-Kampagne namens OneClik aufgedeckt. Dabei handelt es sich nicht um einen typischen Schrotflintenangriff, sondern um eine gezielte Kampagne, die sich gezielt gegen hochwertige Branchen wie Energie, Öl und Gas richtet. Bemerkenswert an OneClik ist die Nutzung der ClickOnce -Technologie von Microsoft, einem legitimen Tool, das die Softwarebereitstellung für Benutzer nahtlos vereinfachen soll. Angreifer haben es jedoch zu einer Waffe missbraucht, um unbemerkt Hintertüren in kritische Systeme einzuschleusen.
Vom Land leben: Die Ausweichstrategie der Angreifer
Anstatt auf laute Malware zu setzen, die Alarme auslöst, verfolgt OneClik einen subtileren Ansatz. Die Kampagne folgt einem breiteren Branchentrend, der als „Living-off-the-Land“-Techniken bekannt ist – der Nutzung vertrauenswürdiger Systemtools und Plattformen, um unentdeckt zu agieren. Die Angreifer integrieren bösartige Prozesse in normale Unternehmensabläufe, was die Erkennung extrem erschwert. Obwohl einige Merkmale auf Verbindungen zu chinesischen Bedrohungsgruppen hindeuten, bleiben Sicherheitsanalysten bei der Schuldzuweisung vorsichtig.
Vom Phishing zur vollständigen Kontrolle
Die Angriffskette beginnt mit einer täuschend einfachen Phishing-E-Mail. Die Opfer werden auf eine gefälschte Website umgeleitet, die ein legitimes Hardware-Analysetool imitiert. Beim Besuch dieser Website wird unbemerkt eine ClickOnce-Anwendung bereitgestellt. Obwohl diese harmlos erscheint, handelt es sich bei der Anwendung tatsächlich um einen .NET-basierten Loader, der eine komplexe Ereigniskette auslöst. Im Zentrum dieser Kette steht eine leistungsstarke Backdoor namens RunnerBeacon .
RunnerBeacon: Das Kernimplantat
RunnerBeacon wurde mit der Programmiersprache Go entwickelt und ist auf Tarnung und Vielseitigkeit ausgelegt. Es kommuniziert mit seinen Betreibern über verschiedene Protokolle, darunter HTTPS, Raw TCP und sogar Windows Named Pipes. Dadurch kann die Malware vielfältige Aktivitäten ausführen: Dateien lesen und ändern, interne Netzwerke scannen, Shell-Befehle ausführen, Token zur Rechteausweitung stehlen und sich lateral im Netzwerk bewegen. Es ist nicht nur ein Angriffspunkt – es ist ein Werkzeugkasten für tiefgreifende Systemkompromittierungen.
Keine Administratorrechte erforderlich: Warum ClickOnce wichtig ist
Einer der cleversten Tricks der Kampagne ist der Missbrauch von ClickOnce. Diese Microsoft-Technologie wird typischerweise verwendet, um Software ohne Administratorrechte zu installieren. Angreifer nutzen dies, um ihre Malware zu starten, ohne Warnsignale auszulösen oder verdächtige Berechtigungen anzufordern. Die schädliche App läuft über einen vertrauenswürdigen Windows-Prozess, dfsvc.exe, und nutzt eine seltene Taktik namens AppDomainManager-Injection, um verschlüsselten Shellcode im Speicher auszuführen – was die forensische Wiederherstellung erschwert.
Kein Einzelfall: Evolutionäre Varianten in der freien Wildbahn
Es handelt sich nicht um eine einzelne Malware-Variante, sondern um eine wachsende Familie. Sicherheitsforscher haben mehrere OneClik-Varianten identifiziert, die allein im Jahr 2025 auftauchen, wobei jede Version ausgefeilter ist als die vorherige. Namen wie v1a , BPI-MDM und v1d deuten auf ein ausgereiftes Toolset hin, das auf Ausweichmanöver und Persistenz ausgelegt ist. Tatsächlich reichen frühere Sichtungen der RunnerBeacon-Backdoor bis ins Jahr 2023 zurück und deuten auf eine Kampagne hin, die im Laufe der Zeit unbemerkt lief und sich weiterentwickelte.
Weitergehende Auswirkungen: Was dies für Unternehmen bedeutet
Die Auswirkungen der Aktivitäten von OneClik sind erheblich. Die Fähigkeit, unbemerkt zu agieren, Privilegienausweitungen zu umgehen und innerhalb vertrauenswürdiger Systeme zu agieren, macht die Malware besonders gefährlich für Branchen, die auf Altsysteme oder minimalen Endpunktschutz angewiesen sind. Herkömmliche Antivirenprogramme und Firewalls erkennen sie möglicherweise nicht. Unternehmen im Infrastruktursektor müssen prüfen, ob ihre bestehenden Abwehrmaßnahmen dieser Art von Angriffen standhalten.
Hier sind einige wichtige Anzeichen, die auf einen Einbruch im OneClik-Stil hindeuten könnten:
- Ungewöhnlicher ausgehender Datenverkehr zu AWS oder anderen Cloud-Diensten
- Unbekannte untergeordnete Prozesse von dfsvc.exe
- Verwendung von AppDomainManager oder verdächtigen .NET-Assemblys
- Schrittweise Rechteerweiterungen ohne Warnmeldungen
Ein globales Muster: Verbindungen zu anderen Bedrohungsakteuren
Obwohl die Zuordnung unklar bleibt, haben Forscher Ähnlichkeiten zwischen den Techniken von OneClik und denen staatlich verbundener Gruppen in Nordostasien festgestellt. Eine Kampagne der Gruppe APT-Q-14 nutzte ebenfalls ClickOnce-Anwendungen und nutzte diesmal eine Zero-Day-XSS-Schwachstelle in einem webbasierten E-Mail-Dienst aus, um Malware ohne Klicks zu installieren. Die Überschneidungen in den Taktiken deuten entweder auf gemeinsame Tools oder ein gemeinsames Vorgehen regionaler Bedrohungsakteure hin.
Anpassungsfähigkeit ist die neue Waffe
Was OneClik von herkömmlicher Malware unterscheidet, ist seine Flexibilität. Es verlässt sich nicht auf Blockbuster-Schwachstellen oder Brute-Force-Methoden. Stattdessen passt es sich an. Es nutzt vertrauenswürdige Plattformen wie AWS, verschleiert seine Kommunikation und entwickelt sich in Echtzeit weiter. Dies ist ein Sinnbild für einen breiteren Wandel bei Cyber-Bedrohungen: weg von der Masse hin zu Tarnung und Präzision.
Abschließende Gedanken
Die OneClik-Kampagne ist ein deutliches Beispiel dafür, dass selbst legitime Technologien für böswillige Zwecke missbraucht werden können. Für Sicherheitsteams bedeutet dies, über oberflächliche Schutzmaßnahmen hinauszublicken und in Verhaltensanalysen, Anomalieerkennung und erweiterte Überwachung zu investieren. Da Bedrohungsakteure ihre Methoden ständig verfeinern, müssen Verteidiger ihnen in puncto Agilität und Einblick ebenbürtig sein. Die Zukunft der Cybersicherheit liegt darin, nicht nur zu verstehen, was Angreifer tun, sondern auch, wie leise sie es tun.
