ClickOnce de Microsoft explotado en campaña 'OneClik' contra el sector energético

Una nueva oleada de ataques dirigidos contra infraestructuras energéticas críticas está explotando la tecnología ClickOnce de Microsoft en lo que los investigadores denominan la campaña 'OneClik'. Esta operación demuestra una innovación preocupante en la metodología de ataque, combinando servicios cloud legítimos con frameworks de despliegue de aplicaciones weaponizados.

ClickOnce, la tecnología de despliegue de aplicaciones de Microsoft diseñada para instalaciones de software simplificadas, se ha convertido en un cómplice involuntario en estos ataques. Los atacantes están abusando de su funcionalidad para entregar silenciosamente cargas maliciosas a sistemas de compañías de petróleo y gas. Esta técnica evade medidas de seguridad tradicionales al aparecer como actualizaciones legítimas de software de fuentes confiables.

La cadena de ataque comienza con credenciales comprometidas o correos de spear-phishing que dirigen a las víctimas a plataformas de almacenamiento en la nube que alojan aplicaciones ClickOnce maliciosas. Al ejecutarse, estas aplicaciones aprovechan las capacidades de actualización automática de ClickOnce para descargar e instalar componentes maliciosos adicionales sin requerir interacción adicional del usuario.

Lo que hace especialmente peligrosa a la campaña OneClik es su uso de:

Se recomienda a las organizaciones del sector energético implementar:

La campaña resalta las crecientes amenazas a sistemas de control industrial y la necesidad de medidas de seguridad especializadas en entornos de infraestructura crítica. Microsoft ha sido notificado sobre el abuso de ClickOnce en estos ataques, pero no se han anunciado cambios inmediatos en la tecnología.